فاجعه امنیتی در بلاک‌چین؛ هک ۴۹ میلیون‌دلاری Infini!

یک هکر توانست بیش از ۴۹ میلیون دلار USDC را از بانک دیفای Infini به سرقت ببرد. این حمله ممکن است به دلیل دسترسی داخلی به قرارداد هوشمند رخ‌داده باشد، زیرا توسعه‌دهنده پس از تحویل پروژه به Infini، همچنان دسترسی خود را حفظ کرده بود.

نحوه هک Infini

 دسترسی ادمین به قرارداد هوشمند به هکر اجازه داد تا تمام ۴۹ میلیون دلار وجوه قفل‌شده در پروتکل Infini را برداشت کند. این پروژه که به‌عنوان یک نئوبانک کریپتویی فعالیت می‌کرد، به کاربران اجازه می‌داد با وثیقه‌گذاری استیبل‌کوین‌ها، از کارت‌های پرداخت خود برای تراکنش‌های روزمره استفاده کنند.

 Infini در هفته‌های اخیر، هم‌زمان با راه‌اندازی کمپین‌های کارت‌های پرداختی خود، شاهد افزایش ۵۰۰ درصدی کاربران بود. این بانک دیفای همچنین محصولات سرمایه‌گذاری با بازدهی بالا ارائه می‌کرد که باعث افزایش نقدینگی در پروتکل و تسهیل شرایط برای هکر شد.

کدام بخش پروتکل هدف قرار گرفت؟

 به نظر می‌رسد هکر وجوه را از Morpho MEV Capital Usual USDC Vault سرقت کرده است، اما تاکنون Morpho هیچ هشداری منتشر نکرده و اعلام زیان نکرده است.

 اولین نشانه‌های این هک، یک تراکنش بزرگ از سوی یک نهنگ ناشناس بود که به نظر عادی می‌رسید، اما در واقع تمام وجوه قفل‌شده را از قرارداد برداشت کرد. بررسی‌های بعدی نشان داد که کیف پول مهاجم توسط Infini شناخته شده بود و توسعه‌دهنده‌ای که مسئول ایجاد قرارداد هوشمند بود، دسترسی ادمین خود را مخفیانه حفظ کرده و در نهایت از آن برای تخلیه نقدینگی استفاده کرده است.

مسیر پول پس از سرقت

 اولین اقدام مهاجم تبدیل فوری USDC به ۱۷,۶۹۶ واحد ETH بود. او از DAI برای نقدکردن دارایی‌ها در پروتکل‌های غیرمتمرکز استفاده کرد و این مبالغ را از طریق Uniswap، Sky Protocol و 0x Protocol منتقل کرد.

 چرا تبدیل به ETH؟

برخلاف USDC، اتریوم را نمی‌توان فریز کرد و فقط امکان مسدودشدن آدرس آن در صرافی‌ها وجود دارد.

 پس از تبدیل، هکر مبالغ را به چندین کیف پول تقسیم کرد و از یک کیف پول جدید برای پرداخت هزینه گس و تکمیل تراکنش‌ها استفاده کرد. تأمین مالی اولیه این کیف پول از طریق Tornado Cash انجام شده بود که باعث شد ردگیری کامل مسیر وجوه دشوار شود.

آیا این حمله کار هکرهای کره شمالی است؟

 هویت سازنده قرارداد هوشمند هنوز نامشخص است و Infini اطلاعاتی درباره توسعه‌دهنده مسئول این قرارداد منتشر نکرده است.

 این حمله در حالی رخ‌داده که بزرگ‌ترین هک سال ۲۰۲۵، یعنی سرقت ۱.۵ میلیارددلاری از صرافی Bybit، نیز به شیوه‌ای مشابه انجام شده بود. طبق بررسی‌های ZachXBT، تحلیلگر آن‌چین، این روش یکی از امضاهای خاص گروه لازاروس (Lazarus) وابسته به کره شمالی است.

 بااین‌حال، تاکنون هیچ ارتباط مستقیمی بین کیف پول هکر Infini و آدرس‌های شناخته‌شده لازاروس تأیید نشده است.

واکنش Infini و سرنوشت وجوه کاربران

 برخلاف هک‌های قبلی، این بار هیچ کلید خصوصی لو نرفته است و Infini همچنان اجازه واریز و برداشت را به کاربران می‌دهد.

 کریستین، بنیان‌گذار Infini، مسئولیت کامل این حمله را پذیرفت و اعلام کرد که در روند انتقال دسترسی از توسعه‌دهنده به پروژه کوتاهی کرده است.

 او در پستی در X (توئیتر سابق) نوشت: کلید خصوصی من لو نرفته، بنابراین جای نگرانی نیست. اما من در روند انتقال دسترسی ادمین اشتباه کردم. این مسئولیت نهایی من است. این اتفاق برای ما یک هشدار جدی بود… نقدینگی مشکلی ندارد و در بدترین سناریو، جبران خسارت کامل انجام خواهد شد.

 بااین‌حال، تحلیل‌های آن‌چین نشان می‌دهد احتمالاً کلید خصوصی قرارداد هوشمند نیز لو رفته است که به هکر اجازه دسترسی و تخلیه وجوه را داده است.

واکنش دیگر اعضای Infini

 PeckShield، شرکت امنیت بلاک‌چین، اعلام کرده که مهندس توسعه‌دهنده‌ای که به هکر تبدیل شد، شناسایی شده است.

 همچنین، یکی از هم‌بنیان‌گذاران Infini با نام کاربری @0xsexybanana، بلافاصله پس از حمله حساب کاربری X خود را حذف کرد! این اقدام احتمالات مربوط به حمله داخلی (Insider Attack) را تقویت می‌کند، زیرا توسعه‌دهنده هکر ظاهراً فردی معتمد در پروژه بوده است.

آیا این حمله بر قیمت ETH تأثیر گذاشت؟

 در میان نگرانی‌ها در مورد شست‌وشوی پول از طریق بلاک‌چین اتریوم و تأمین مالی احتمالی رژیم‌های متخاصم، این هک محرکی برای افزایش قیمت ETH نیز شد.

 به دنبال سرقت ۱۷,۶۹۶ واحد اتریوم، قیمت این رمزارز برای اولین‌بار پس از چند هفته به بالاتر از ۲,۸۰۰ دلار رسید. صرافی‌ها برای جبران موجودی اتریوم خود، مجبور به خرید بیشتر شدند که به افزایش تقاضا و رشد قیمت ETH کمک کرد.