- Empresa de pagamento com stablecoin Infini perdeu US$ 50 milhões em uma exploração suspeita
- Especialistas da Cyvers e Blocksec confirmaram que o ataque à Infini envolveu a exploração de um contrato inteligente
- Fundador Christian Li garantiu que os usuários afetados serão compensados
A plataforma de pagamentos baseada em stablecoins Infini sofreu um ataque cibernético que resultou na perda de US$ 50 milhões em USDC.
A investigação aponta que um desenvolvedor, que trabalhou no projeto, manteve privilégios administrativos ocultos e teria utilizado essa brecha para desviar os fundos. O incidente levanta preocupações sobre segurança em contratos inteligentes e expõe vulnerabilidades em plataformas descentralizadas.
Ataque explora falha em contrato inteligente
Especialistas da Cyvers e Blocksec confirmaram que o ataque à Infini envolveu a exploração de um contrato inteligente criado em novembro de 2024. Em princípio, o invasor utilizou um endereço de carteira financiado pelo Tornado Cash, um serviço de mixagem de criptomoedas conhecido por dificultar o rastreamento de transações.
🚨ALERT🚨Today, @0xinfini suffered a $49M $USDC exploit due to an attacker abusing retained administrative privileges.
The attacker, operating from 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, had initially developed the contract as part of the Infini project. However, after… pic.twitter.com/olguOyNCJr
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) February 24, 2025
Após ganhar acesso ao contrato, o hacker retirou US$ 49,52 milhões em USDC da plataforma e os converteu para Dai (DAI), uma stablecoin sem função de congelamento.
Em seguida, o hacker trocou por 17.696 Ethereum (ETH) e transferiu para um segundo endereço. A ação rápida e a conversão dos ativos dificultaram a recuperação do dinheiro.
Analysis of the $49.5 million loss at @0xinfini :
The contract address
0x9A79f4105A4e1A050Ba0b42F25351D394fA7E1DC, which was created by the attacker address 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1,
was initially developed by the attacker as part of the Infini project.… pic.twitter.com/cptYI59pI0
— ExVul (@exvulsec) February 24, 2025
A equipe da Infini não suspendeu os saques imediatamente após o ataque, o que permitiu o saque de mais de US$ 500.000 da plataforma nas horas seguintes. Posteriormente, o fundador Christian Li garantiu que os usuários afetados serão compensados, minimizando rumores sobre problemas de liquidez.
Impacto no mercado e investigações em curso
O ataque à Infini acontece poucos dias após o maior hack da história das criptomoedas, que resultou na perda de US$ 1,4 bilhão na Bybit. A rápida sequência de ataques reforça as preocupações com a segurança de plataformas financeiras descentralizadas e a necessidade de protocolos mais rígidos para proteger os usuários.
We're aware of reports on a security compromise affecting Infini. We're deeply sorry for the concern this causes – our team is working around the clock to investigate and secure all systems at the moment.
All transfers, deposits, withdrawals, and payments remain in normal usage…
— Infini (@0xinfini) February 24, 2025
A equipe da Infini afirmou que está colaborando com autoridades para rastrear os responsáveis. De acordo com uma publicação nas redes sociais, um membro da equipe chegou a afirmar que a polícia identificou e denunciou o desenvolvedor suspeito.
No entanto, a empresa ainda não confirmou oficialmente a identidade do envolvido. Especialistas em segurança alertam que, caso a fraude seja interna, esse caso pode se tornar um dos maiores golpes da história das stablecoins.
