Ngân hàng số Infini bị hack 49,5 triệu USDC

• Ngân hàng số Infini bị hack 49,5 triệu USDC, đã hoán đổi lấy 17.696 ETH.
• Kẻ tấn công đã khai thác quyền quản trị còn lại trong hợp đồng thông minh của Infini.
• Người sáng lập Infini đã hứa sẽ bồi thường toàn bộ, viện dẫn sự sơ suất trong việc chuyển giao quyền hạn.

Vào ngày 24 tháng 2 năm 2025, Infini, một ngân hàng số stablecoin có trụ sở tại Hồng Kông kết hợp giữa tiền điện tử và tài chính truyền thống, đã trải qua một cuộc tấn công an ninh nghiêm trọng, dẫn đến việc mất khoảng 49,5 triệu đô la Mỹ trong đồng USD Coin (USDC).

Cuộc tấn công, lần đầu được công ty an ninh blockchain CertiK thông báo lúc 3:18 AM UTC, đã gây chấn động trong cộng đồng tài chính phi tập trung (DeFi), nhấn mạnh những điểm yếu tồn tại trong lĩnh vực tiền điện tử, đặc biệt là sau cuộc hack trị giá 1,4 tỷ đô la của Bybit vào ngày 21 tháng 2 năm 2025.

Cuộc tấn công Infini

Cuộc tấn công nhắm mục tiêu vào một hợp đồng thông minh liên quan đến Infini trên chuỗi Ethereum, cụ thể là địa chỉ 0x9A79f4105A4e1A050Ba0b42F25351D394fA7E1DC.

Theo thông tin an ninh…
Các nhà phân tích từ CertiK, Cyvers, Blocksec và PeckShield cho biết một hacker đã có được quyền truy cập không hợp lệ bằng cách khai thác quyền quản trị còn lại trong hợp đồng. Kẻ tấn công, hoạt động từ địa chỉ 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, đã phát triển hợp đồng thông minh cho Infini nhưng vẫn giữ quyền kiểm soát mà không ai biết đến dự án.

Quyền truy cập này cho phép hacker thao tác các cài đặt của hợp đồng, rút đi 49,5 triệu đô la Mỹ (USDC) từ cái mà người ta tin là Vault USDC Thông Thường của Morpho MEV Capital.

Sau vụ trộm, hacker nhanh chóng chuyển đổi USDC bị đánh cắp sang Dai (DAI) và sau đó mua 17.696 Ethereum (ETH), có giá trị khoảng 49 triệu đô la vào thời điểm đó.

> Có vẻ như ngân hàng stablecoin @0xinfini đã bị hack và 49,5 triệu đô la Mỹ ($USDC) đã bị đánh cắp.
>
> Hacker đã đổi 49,5 triệu đô la Mỹ ($USDC) lấy 49,5 triệu đô la Mỹ ($DAI) và mua 17.696 $ETH.
>
> 17.696 $ETH đã được chuyển đến một ví mới “0xfcc8…6e49”. https://t.co/AdAyB3q5LA
>
> — Lookonchain (@looko
nchain) Ngày 24 tháng 2 năm 2025

Các quỹ sau đó được chuyển đến một ví mới, 0xfcc8…6e49, và phân chia qua nhiều địa chỉ, với nguồn vốn ban đầu được theo dõi đến Tornado Cash, một công cụ bảo mật thường được sử dụng để làm mờ các giao dịch tiền điện tử. Tuy nhiên, vào thời điểm báo cáo, ETH vẫn chưa được trộn lẫn, cho thấy nỗ lực tiếp tục để theo dõi di chuyển của hacker.

Phản hồi từ Infini

Infini, ra mắt vào năm 2024 như một ngân hàng số chỉ cung cấp giao dịch stablecoin, dịch vụ thẻ crypto, và tài khoản lãi suất cao, đã phát hành một tuyên bố chính thức xác nhận sự cố an ninh, tuyên bố rằng “tất cả các chuyển khoản, gửi tiền, rút tiền, và thanh toán vẫn đang trong tình trạng sử dụng và hoạt động bình thường.”

> Chúng tôi biết về những báo cáo liên quan đến sự xâm phạm an ninh ảnh hưởng đến Infini. Chúng tôi xin lỗi sâu sắc về sự lo lắng mà điều này gây ra – đội ngũ của chúng tôi đang làm việc suốt ngày đêm để điều tra và đảm bảo tất cả các hệ thống tại thời điểm này.
>
> Tất cả các chuyển khoản, gửi tiền, rút tiền, và thanh toán vẫn đang trong tình trạng sử dụng bình thường…
>
> — Infini (@0
xinfini) 24 tháng 2, 2025

Người sáng lập Infini, Christian Li, đã nhận hoàn toàn trách nhiệm về lỗ hổng trong một bài đăng trên X, làm rõ rằng vụ vi phạm không phải do rò rỉ khóa riêng mà là do sự tắc trách của ông khi chuyển giao quyền từ nhà phát triển sang dự án. “Khóa riêng cá nhân của tôi không bị rò rỉ, vì vậy không cần phải lo lắng quá nhiều. Tôi đã tắc trách khi chuyển giao quyền trước đây. Cuối cùng, đây là trách nhiệm của tôi. Đây đã vang lên một hồi chuông báo động… Không có vấn đề gì với tính thanh khoản. Bồi thường đầy đủ có thể được chi trả, và các quỹ đang được theo dõi,” ông viết.

Mặc dù có sự trấn an này, một số phân tích trên chuỗi, bao gồm từ PeckShield, cho thấy một khả năng bị xâm phạm khóa riêng, làm phức tạp thêm cuộc điều tra.

Tác động của lỗ hổng

Lỗ hổng này đã nêu ra những câu hỏi nghiêm túc về quản lý khóa riêng, an ninh hợp đồng thông minh và các rủi ro từ mối đe dọa nội bộ trong các nền tảng DeFi.

Infini, đã trải qua sự tăng trưởng mạnh mẽ, với mức tăng 500% hàng tháng.
sự gia tăng người dùng tích cực kể từ khi ra mắt, đặc biệt sau khi triển khai các chiến dịch thẻ tiền điện tử, hiện đang phải đối mặt với một thử thách nghiêm trọng cho khả năng phục hồi của mình. Các sản phẩm có lãi suất cao của ngân hàng số, được thiết kế để thu hút thanh khoản, vô tình đã tạo ra các điều kiện cho lỗ hổng, làm gia tăng tác động tài chính.

Sự cố này xảy ra ngay sau vụ hack sàn giao dịch Bybit, nơi đã bị lấy đi một khoản tiền khổng lồ lên tới 1,4 tỷ đô la thông qua việc thao túng logic hợp đồng thông minh. Sự tương đồng trong chiến thuật, tách và trộn ETH, đã khiến nhà điều tra chuỗi ZachXBT suy đoán rằng nhóm hacker Lazarus, nổi tiếng với các phương pháp như vậy, có thể liên quan, mặc dù không có liên kết trực tiếp nào với kẻ tấn công Infini đã được xác nhận.

> Nhóm Lazarus vừa kết nối vụ hack Bybit với vụ hack Phemex trực tiếp trên chuỗi, trộn lẫn các quỹ từ địa chỉ đánh cắp ban đầu cho cả hai sự cố.
>
> Địa chỉ trùng lặp:
> 0x33d057af74779925c4b2e720a820387cb89f8f65
>
> Giao dịch hack Bybit vào ngày 22 tháng 2 năm 2025:…
>
> — ZachXBT (@zachxbt) Ngày 22 tháng 2 năm 2025
Sự liên tiếp nhanh chóng của những vi phạm nổi bật này đã khơi lại lời kêu gọi về các giao thức bảo mật mạnh mẽ trên các nền tảng tiền điện tử tập trung và phi tập trung.

Thú vị thay, dòng ETH bị đánh cắp đổ vào thị trường đã nghịch lý kích thích một đợt phục hồi nhỏ, đẩy giá Ethereum vượt qua 2,800 USD lần đầu tiên sau nhiều tuần khi các sàn giao dịch khẩn trương bổ sung dự trữ.

Tuy nhiên, sự cố Infini cũng đã dấy lên lo ngại về khả năng rửa tiền hoặc tài trợ cho các chế độ thù địch, xét đến việc sử dụng Tornado Cash và quy mô của vụ trộm.