Infini frappé par un hack : 49 millions de dollars dérobés par leur propre développeur
Un hack qui fait des dégâts. Les hackers disposent d’une multitude de méthodes pour dérober des cryptomonnaies. Bien que le phishing soit en vogue depuis plusieurs mois, les attaqies de smart contracts restent fréquentes. Le protocole Infini l’a appris à ses dépens avec le hack de 49 millions de dollars en USDC.
- Infini a subi un hack catastrophique de 49 millions de dollars en USDC, révélant des failles béantes dans la sécurité des smart contracts.
- Un développeur interne, en abusant des privilèges administratifs, a orchestré cette attaque, soulevant des questions inquiétantes sur la sécurité des protocoles décentralisés.
Infini victime d’un hack à 49 millions de dollars
Infini est un protocole qui se positionne comme une neo-banque crypto. Ainsi, il permet à ses utilisateurs de payer en crypto à l’aide de cartes bancaires virtuelles et de générer des intérêts sur leurs stablecoins.
Malheureusement, celui-ci a été la victime d’une attaque massive ce lundi 24 février. Ainsi, les équipes de Cyvers Alert, spécialisées dans l’analyse on-chain ont révélé le hack sur le réseau social X.
Au total, 49 millions de dollars en USDC ont été dérobés sur le protocole. De son côté, l’équipe d’Infini a relayé la nouvelle sur son canal Telegram et sur X:
« Nous avons pris connaissance d’informations faisant état d’une faille de sécurité affectant Infini. Nous sommes profondément désolés pour l’inquiétude que cela cause – notre équipe travaille 24 heures sur 24 pour enquêter et sécuriser tous les systèmes en ce moment. »
Un développeur à l’origine de l’attaque
Toujours selon les informations dévoilées par les équipes de Cyvers, il semblerait que le hacker ne soit autre qu’un développeur du protocole.
« Iinfini a subi un exploit de $49M $USDC en raison d’un attaquant abusant des privilèges administratifs conservés. »
Ainsi, il semblerait qu’Infini ait fait appel à un développeur contractuel pour écrire ses smart contracts. Malheureusement, plus de 100 jours après le déploiement desdits contrats, le développeur a abusé de droits qu’il avait conservés sur les contrats pour les siphonner.
En effet, lors du déploiement du contrat, le développeur a probablement ajouté son adresse à la liste d’adresses administrateurs.
Ce matin, il a ajouté des fonds à l’adresse via le protocole Tornado Cash et exploité le contrat pour drainer l’intégralité des fonds.
« L’attaquant, opérant depuis 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, avait initialement développé le contrat dans le cadre du projet Infini. Cependant, après la livraison du projet, ils ont secrètement conservé les droits d’administration. »
La Corée du Nord à l’œuvre ?
Ces derniers jours, le groupe de hacker Lazarus a refait parler de lui en dérobant 1,46 milliard de dollars à l’exchange Bybit.
Bien qu’il s’agisse du plus gros hack de tous les temps, Lazarus dispose d’une multitude de méthodes pour mener ses attaques.
Ainsi, fin 2024, nous apprenions l’existence d’un important programme d’infiltration. En effet, des développeurs, à la botte du gouvernement nord-coréen, infiltreraient des protocoles DeFi sous de fausses identités.
L’objectif est simple : profiter de cette position privilégiée pour intégrer des portes dérobées dans le code. Ainsi, certains observateurs envisagent qu’Infini ait pu être victime de ce type de manœuvre.
Nous devrions en savoir plus dans les heures ou jours à venir, à mesure que l’enquête menée par les équipes du protocole avance.
Décidément, les hacks reprennent de plus belle. La semaine dernière, le protocole Cardex a été siphonné de 400 000$ sur la nouvellement lancée Abstract Chain.
Renaud H.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
