加密新银行Infini Infini损失了4,950万美元，据称是由一名前开发商滥用行政特权进行的黑客。

攻击者曾在Infini的合同中工作，该项目在项目完成后利用了他们的特权。根据区块链分析平台Cyers。 Quillaudits确认，利用是由“妥协的访问和特权升级”所造成的，攻击者利用了私钥违规，使他们允许他们访问妥协的帐户。

“黑客获得了与私人密钥相关联的访问权限报告指出，帐户“ 0xc4…3e1”。 “该帐户已被授予特殊角色（0x8e0b），使其可以从保险库中撤回资金。”

🚨Alert🚨 -today， @0xinfini遭受了4900万美元的$ USDC利用，原因是攻击者滥用了攻击者滥用攻击者滥用攻击者行政特权。

攻击者，从0xC49B5E5B9DA66B9126C1A62E9761E6B2147DE3E1最初已将合同作为Infini项目的一部分。但是，在…pic.twitter.com/oluguoyncjr

- 🚨cyvers提醒🚨（@cyversalerts）2025年2月24日

据报道，黑客启动了两个交易 - 第一笔交易 - 1,145万美元，第二笔$ 3806万美元，从中被盗的总金额为4950万美元Morpho Mevcapital USDC Vault。

然后，这些资金从USD Coin（USDC）迅速换成Dai（dai），并转换为17,696 ETH。然后将资金转移到次要地址。

违规后，英派尼的创始人克里斯蒂安·李（Christian Li）乘坐Twitter承认这一事件并提供了保证。他说，团队“以前转移当局时一直过失。”

“最终是我的责任，这听起来很警报，”李说。 “流动性没有问题……可以支付全额赔偿，并且资金正在追溯。”

尽管违反了，Infini仍在继续允许提取。 LI向用户保证，在最坏的情况下，“可以全额赔偿可以支付”。

li表示希望收回被盗资金，并向黑客提供了20％的被盗金额，可以确保没有法律行动会诉讼如果资金退还了。

我知道黑客可能正在观看我的推文，所以这是我的真诚信息：我已经尽力表明仍然有良好的，负责任的人这个行业。我深感遗憾的是我的错误，并将为用户做正确的事情。

我希望有一种方法可以恢复……

- 克里斯蒂安（building @0xinfini）（ @christianeth）（@christianeth） 2025年2月24日

缺乏进一步的混淆技术意味着被盗资产可能仍然可以追溯到注释。

Cyers提供了一项分析，指出黑客保留了管理权，未发现100天以上，随后通过以太坊的基于以太坊的硬币搅拌机龙卷托龙卷龙卷风汇入了被盗资金。

infini在黑客攻击后数小时分享了其正式声明，包括所有交易，包括转移，存款，存款，存款，存款，，存款，存款，存款

“我们为此感到非常抱歉 - 我们的团队正在全天候调查和确保所有系统这一刻。我们为此感到非常抱歉 - 我们的团队目前正在全天候调查和保护所有系统。

所有转移，存款，提款和付款仍在正常使用中……< /p>

- Infini（@0xinfini）2025年2月24日

令人沮丧的是，这不是新问题，” Quillaudits研究团队告诉Decrypt。 “我们已经反复看到了这场比赛，但是项目仍低估了锁定访问的重要性。”

团队分享了这一目标，直到团队开始将访问控制视为“核心安全优先级”，并且这些黑客并不是事后的想法。

“这不仅仅是更好的技术；研究小组说。

链上分析显示，北朝鲜国家赞助的黑客组织拉撒路集团将成为该行业历史上最大的黑客。攻击背后。

bybit的回应在某些方面类似于Infini的回应，因为交易所选择保持戒断的开放并发誓以弥补损失，如果无法收回资金。

hack陷入困境机翼对Defi领域的安全担忧，去年加密货币的22亿美元被盗，与北朝鲜黑客黑客群有关的被盗资金中有50％，根据区块链分析公司的链条链接报告。

“。

”。该报告说。

编辑。由Stacy Elliott。