在2025年2月24日,香港的稳定币数字银行Infini遭遇了一次重大的安全事件,前开发者被指控在保留管理访问权限的情况下,窃取了价值4950万美元的USDC。这起事件不仅对投资者造成了损失,还在去中心化金融(DeFi)行业的安全性方面引发了广泛的关注。 此次盗窃的细节引人注目。根据报告,被盗的USDC首先通过DAI转换为以太坊(ETH),并最终移动到一个外部钱包中。这一多步骤的资金转移过程是攻击者常用的手段,用以掩盖盗窃资金的踪迹。这一事件暴露了DeFi领域仍然存在的安全漏洞,给行业的未来敲响了警钟。
**Infini数字银行的回应** 对于这次安全漏洞,Infini在其社交媒体上发表了声明,表示对事件造成的后果深感遗憾,并确保正在全力调查和修复系统。尽管遭遇了挫折,Infini仍表示其使命没有改变,业务将继续正常进行,用户的转账、存款和提款服务将不受影响。 Infini的创始人Christian在社交平台上直接面对投资者和用户,承认了大部分被盗资金属于主要投资者,并承诺会承担可能的损失。同时,他表示剩余的资金将在下周一之前重新投资到Infini Vault,并将继续满足用户的提款请求。 **恶意开发者的身份与手法** 根据Web3安全公司ExVul的分析,此次攻击的源头可以追溯到一个合约地址,该合约地址是在攻击者离开Infini项目之前创建的。攻击者在项目交付后保留了管理权限。
在超过100天的沉寂后,攻击者再次利用之前留下的权限进行了一系列操作。 ExVul的分析显示,攻击者首先转移了一小笔以太坊用于支付节点费用,此后便执行合约完成了盗取资金的过程。这一系列操作暴露了Infini在安全管理方面存在的漏洞,尤其是在开发者权限控制和合约审计方面。开发者在离职后仍能接触公司的核心合约,显然是一个安全隐患。 **安全漏洞的教训** Infini事件给整个DeFi行业敲响了警钟,强调了在快速发展的数字金融生态中,安全性管理的重要性。以下是从此次事件中可以汲取的教训: 1. **严格的权限管理**:离职的开发者不应保留任何管理访问权限,必须确保所有敏感权限在离职时被撤销。
2. **合约审计的重要性**:在任何数字金融项目中,开展全面的合约审计是确保系统安全的重要环节。企业应定期进行代码审计,以发现潜在的安全漏洞。 3. **透明的信息沟通**:在发生安全事件时,透明的信息沟通是建立用户信任的重要因素。企业应及时向用户通报事件进展,并采取措施保护用户利益。 4. **建立应急响应机制**:企业应建立健全应急响应机制,迅速处置安全事件,降低损失及影响。 **Infini未来的发展方向** 在此次事件后,Infini承诺将加强内部安全协议以及技术团队的建设,以迎接未来可能面临的挑战。
尤其是在去中心化金融领域,所有金融机构都应明确自身的安全责任。 虽然此次事件导致了资金损失和形象受损,但Infini仍希望通过积极的客户沟通和全面的补救措施,恢复用户信心,并重申其对未来数字金融发展的承诺。 总之,Infini的事件无疑是一次惨痛的教训,对于所有参与DeFi生态的企业和用户来说,都应对此保持高度警惕,以确保不重蹈覆辙。随着数字金融的不断发展,安全性问题将越来越显得重要,只有通过加强安全管理,才能为用户保驾护航,推动行业的健康发展。
