Infiniで5,000万ドルの損失発生
ステーブルコイン決済プラットフォームInfini(インフィニ)は、プロジェクトの作業完了後に管理者権限を保持していた開発者によって実行されたとみられるエクスプロイトで5,000万ドル(約75億円)を失った。
🚨ALERT🚨Today, @0xinfini suffered a $49M $USDC exploit due to an attacker abusing retained administrative privileges.
The attacker, operating from 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, had initially developed the contract as part of the Infini project. However, after… pic.twitter.com/olguOyNCJr
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) February 24, 2025
警告:infiniは、保持された管理者権限を悪用した攻撃者により、4,900万ドルのUSDCの被害を受けました。
0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1 から操作する攻撃者は、当初Infiniプロジェクトの一環としてコントラクトを開発していました。しかし、プロジェクトの納品後、ひそかに管理者権限を保持していました。
100日以上経過した後、攻撃者は…
ブロックチェーンセキュリティ企業Cyvers(サイバーズ)の報告によると、犯人は契約開発のためにInfiniプロジェクトに携わり、プロジェクト完了後もひそかに管理者権限を保持していたとみられる。攻撃者は、仮想通貨ミキサーTornado Cash(トルネードキャッシュ)を通じてエクスプロイトウォレットに1ETHを入金し、2024年11月に展開した契約を通じてInfiniから4,952万ドル(約74億円)に相当するUSDコイン(USDCoin/USDC)を引き出している。
その後、盗まれた資金は、凍結機能がなく、サイバー犯罪者が資産差し押さえを回避するためによく使用するステーブルコインであるダイ(Dai/DAI)と交換され、その後さらに17,696 ETHに変換され、セカンダリアドレスに移動されていたという。
消失後も引き出し機能は継続
5,000万ドルを失ったにもかかわらず、Infiniは引き出し機能を停止させていない。
創設者のクリスチャン・リー(Christian Li)氏は、プラットフォームは攻撃以来すでに50万ドル(約7,500万円)の引き出しを経験しており、最悪のシナリオでは全額補償を約束。すでに削除されているものの、一時公開されていたInfiniチームのメンバー@ Christine氏によるXへの投稿には、盗難の背後にいるエンジニアが特定され、当局に報告されたと主張しているが、公式確認はまだ保留中だ。
还在梳理和追踪详细情况,提现正常,最差情况全额赔付,可以放心。
— Christian (Building @0xinfini) (@Christianeth) February 24, 2025
詳細はまだ整理・追跡中ですが、出金は正常であり、最悪の場合でも全額補償されますのでご安心ください。
Infiniの侵害は、当NEXTMONEYの特集記事「バイビット史上最大のハッキング被害で15億ドル超のETH流出、ラザラスグループが関与か」で報じたように、仮想通貨史上最大のバイビット(Bybit) ハッキングに続くものだ。
