Crypto Neo-Bank Infini在涉嫌滥用行政特权的前开发商进行的涉嫌黑客中损失了4,950万美元。

曾在Infini合同工作的攻击者在项目完成后利用其特权，从平台上排出资金，根据进行区块链分析平台介绍者。

在与之共享的报告中解密，智能合同审计公司Quillaudits证实，攻击是由于“访问权限和特权升级”而造成的，攻击者利用了私钥违规行为，使他们允许他们访问妥协的帐户。

报告指出：“黑客获得了与帐户“ 0xc4…3e1”相关的私钥的访问权限。 “该帐户被授予特殊角色（0x8e0b），使其可以从保险库中撤回资金。”

这黑客据报道，从Morpho Mevcapital USDC保管库中开始了两笔交易，第一笔交易，第二笔交易，第二笔交易，第二笔交易，第二笔交易的总额为4,950万美元。

然后这些资金很快被交换了美元硬币（USDC）Dai（dai）并转换为17,696 ETH。然后将资金转移到次要地址。

违反之后，英派尼的创始人克里斯蒂安·李（Christion Li）去了Twitter承认事件并提供保证。他说，团队“以前转移当局时一直疏忽。”

李说：“最终是我的责任，这听起来很警报。” “流动性没有问题……可以支付全额赔偿，并且资金正在追踪。”

尽管违反了，但英菲尼继续允许撤离。 LI向用户保证，在最坏的情况下，“可以支付全额薪酬”。

那表达希望收回被盗资金，并向黑客提供20％的被盗金额，并确保如果退还资金，则不会采取法律行动。

Quillaudits报告说，缺乏进一步的混淆技术意味着被盗资产可能仍然是可追溯的。

Cyvers提供了一项分析，指出黑客保留了管理员权利，未被发现了100天以上，后来通过基于以太坊的盗窃资金汇入了被盗资金硬币搅拌机龙卷风现金。

“这一事件强调了智能合约中保留行政特权的关键风险，” Cyvers AI的高级区块链科学家Hakan Unal告诉解密。 “与此同时，这是一个有力的提醒，可以使项目彻底审核和撤销不必要的许可。”

Infini在黑客攻击后数小时分享了其正式声明，包括转移，存款和提款在内的所有交易，仍然不受影响。

“我们为此感到非常抱歉 - 我们的团队目前正在全天候调查和保护所有系统，” Infini推文周一。

Quillaudits研究团队告诉解密。 “我们已经反复看到了这场比赛，但是项目仍低估了锁定访问的重要性。”

该团队分享说​​，直到团队开始将访问控制视为“核心安全性优先级”，而不是事后才想到，这些黑客将继续发生。

“这不仅仅是更好的技术；这是关于更好的习惯，”研究小组说。

Infini的违规行为遵循加密交易所Bybit的重大利用，受苦大量损失14亿美元以太坊以及上周五相关的令牌，标志着该行业历史上最大的黑客之一。

链分析揭示拉撒路集团（Lazarus Group）是朝鲜国家赞助的黑客集团，将遭到袭击。

拜比特的回应在某些方面与英菲尼的回应相似，因为如果无法收回资金，交易所选择保持戒断的开放并誓言以弥补损失。

这一黑客涉及到Defi领域的安全性的越来越多，去年有超过22亿美元的加密货币被盗，而与朝鲜黑客黑客群有关的被盗资金中有50％，根据区块链分析公司的链条分析，报告.

报告说：“个人黑客事件的数量从2023年的282起事件增加到2024年的303起事件。”

编辑Stacy Elliott.

标签: