Infini作为一家结合了加密货币和传统金融的香港稳定币数字银行,最近遭遇了一起重大的黑客事件,导致4950万美元的USD Coin (USDC)被盗。这起攻击首次被区块链安全公司CertiK于协调时间3:18 AM UTC报告,震惊了去中心化金融(DeFi)社区,再次凸显了加密空间内的潜在脆弱性。 本次攻击的目标是Infini在以太坊区块链上的一项智能合约,具体地址为0x9A79f4105A4e1A050Ba0b42F25351D394fA7E1DC。根据CertiK、Cyvers、Blocksec及PeckShield等安全分析师的报告,黑客通过利用保留在合约中的行政权限来获取了未授权的访问权。需要指出的是,该黑客最初是为Infini开发这一智能合约的开发者,但在项目交接后,却未知情地保留了对合约的控制权。 这种内部访问权限使得黑客可以操纵合约设置,从而从被认为是Morpho MEV Capital Usual USDC Vault的钱包中盗取了4950万美元的USDC。
在盗取之后,黑客迅速将被盗的USDC转换为Dai (DAI),并随后购买了17,696个以太坊(ETH),在当时的价值约为4900万美元。随后,这些资金被转移到一个新钱包0xfcc8…6e49,并且分散到多个地址之间,最初的资金还被追踪到Tornado Cash,这一隐私工具通常用于隐藏加密货币交易。然而,在报道时,这笔ETH仍未混合,显示出追踪黑客活动的工作依然在持续进行当中。 针对这起黑客事件,Infini已发表官方声明,承认了这次安全漏洞,并表示“一切转账、存款、取款和支付功能仍正常运作”。Infini的创始人Christian Li在X平台上对此次事件承担全部责任,他明确指出此次攻击并非由于私钥泄露,而是他在权限转移过程中的过失。 他写道:“我的个人私钥没有被泄露,所以不需要过于担忧。
我在权限转移时确实有疏忽,最终这是我的责任。这次事件给我们敲响了警钟……我们没有流动性问题,可以进行全额赔偿,目前正在追踪被盗资金。”尽管如此,一些链上分析,包括PeckShield的分析,暗示了可能存在私钥被泄露的隐患,为该事件的调查增加了复杂性。 这起事件引发了关于私钥管理、智能合约安全及DeFi平台内部威胁风险的严重质疑。Infini自2024年推出以来,经历了飞速增长,尤其是在其推出加密卡服务后,激活用户每月增加了500%。然而,这次事件无疑对其韧性构成了严峻挑战。
Infini的高收益产品,虽然旨在吸引流动性,但也在无意中提供了被黑客利用的条件,加重了金融损失的影响。 此次事件的发生,与不久前的Bybit交易所黑客事件形成鲜明对比,后者在2025年2月21日的攻击中损失了高达14亿美元,加密货币市场正处于高风险的环境中。此次攻击方式的相似之处,以及对ETH的分拆和混合行为,令人怀疑北朝鲜黑客组织Lazarus或许也参与了此事件,但尚未确认与Infini黑客的直接联系。 随着多起高知名度黑客事件的接连发生,对证券和去中心化加密平台的安全协议的呼声也愈发强烈。令人矛盾的是,被盗的ETH流入市场,反而在一定程度上推动了以太坊价格小幅上涨,使其首次突破2800美元,交易所急于补充储备。 然而,Infini事件也引发了对潜在洗钱或敌对政权融资的担忧,鉴于使用了Tornado Cash及盗取金额的规模。
这场黑客事件不仅在Infini的用户中引起了恐慌,也促使整个行业反思其安全措施及风险管理策略。加密货币行业亟需采取更强有力的保护措施,以避免未来类似事件的重演。
