繼 Bybit 上周被盜之後,加密貨幣產業再傳駭客事故,總部位於香港的穩定幣數位銀行、金融支付平台 Infini 證實遭受攻擊,分析師預估損失金額約 4,900 萬美元。
資安機構 Cyvers 、 Blocksec 已確認 Infini 是這次攻擊的受害者,並指出駭客透過智能合約漏洞成功竊取大筆資金。
駭客操控智能合約,成功竊走 4,900 萬美元
根據鏈上數據分析,駭客鎖定 Infini 的智能合約,利用已被攻陷的管理權限,將 4,900 萬美元 USDC 轉移到新的地址。
🔹 駭客使用 Tornado Cash 洗錢:駭客隨後將資金轉入混幣器 Tornado Cash,接著將 USDC 兌換成以太幣(ETH),進一步規避追蹤。
🔹 關鍵漏洞來自合約管理權限:資安機構 Blocksec 表示,駭客(0xc49) 透過自行創建的智能合約(0x9A7),修改了 Infini 原有的合約設定,最終才得以發動攻擊,竊取全部資金。
目前仍無法完全確認這次攻擊是否來自「私鑰洩漏」 或「未經授權的合約存取」,但 Cyvers 指出,這起事件顯示駭客掌握了關鍵的管理權限,導致資金遭到惡意轉移。
官方承諾全額補償
Infini 創辦人 Christian 發文澄清,這次事件並非「個人私鑰外洩」所致,而是「之前轉交權限的時候有疏忽」,並強調,「流動性沒什麼問題,能夠全額賠付,正在追查資金」。
Christian 在後續的貼文中提到:
從被盜到現在,Inifini 收到的提款申請累計達 50 萬美元,已經全部響應,甚至還有不少錢包繼續存錢。
目前產品一切消費和提款都照常,唯一受影響的是理財部分(因為暫停了合約也沒有繼續劃轉資金,防止二次風險),需要一定時間來提出和執行更妥善的方案。
這次攻擊發生的時間點,剛好緊接在 2 月 21 日 Bybit 被盜 14 億美元事件之後,再度讓加密貨幣市場對資安問題提高警覺。
