Close Menu
    Nouvelles

    La banque Stablecoin Infini a été piratée, un attaquant a dérobé 49 millions de dollars USDC lors d’une brèche administrative

    Alex MorrisonBy Updated:04 Mins Read
    BingX Confirms Hack with 'Minor' Losses Amid Hot Wallet Concerns
    • Infini, une néobanque en plein essor, a perdu 49 millions de dollars en USDC à la suite d’une faille de sécurité. Cette brèche  a découlé de l’accès à l’administration d’un développeur de contrats intelligents.
    • L’exploit, qui visait les produits stablecoins à haut rendement d’Infini, présente des similitudes avec des attaques antérieures attribuées au Lazarus Group. Ce qui suscite des inquiétudes quant à une éventuelle implication de la Corée du Nord.

    La menace du vol en ligne est revenue en force. La banque stablecoin Infini a été récemment la cible d’une exploitation qui lui a rapporté 49 millions de dollars en USDC. En se penchant sur les détails, on soupçonne que l’exploit est dû au fait que le développeur du contrat intelligent a conservé une porte dérobée, ce qui laisse supposer une menace interne.

    Selon certaines informations, l’exploiteur qui a empoché 49 millions de dollars grâce au protocole Infini, une banque DeFi en stablecoin, disposait d’un accès administrateur. La société est restée muette sur l’exploit, la banque DeFi n’ayant pas réagi et n’ayant pas expliqué les détails de l’intrusion.

    La banque Infini s’est présentée comme une néobanque mêlant crypto et finance traditionnelle. Cette publicité a eu des retombées positives puisque le produit a attiré 500 % d’utilisateurs supplémentaires au cours des dernières semaines qui ont précédé l’exploit, alors qu’elle lançait ses campagnes de cartes.

    En outre, la néobanque propose également des produits à haut rendement, ce qui a entraîné une augmentation des liquidités disponibles que l’exploiteur a pu s’approprier.

    En creusant davantage, les produits à haut rendement de la banque ont créé ce qui semblait être un point de vulnérabilité parfait.  Il a mené à l’exploit, avec des fonds drainés de la chambre forte Morpho MEV Capital Usual USDC. De plus, il est à noter que Morpho elle-même n’a signalé aucune perte et n’a émis aucun avertissement.

    De la transaction de la baleine à l’exploit

    À première vue, il s’agissait d’une transaction de baleine typique, dans laquelle un nouveau portefeuille retirait tous les fonds du contrat. Infini connaissait déjà le portefeuille de l’attaquant, puisqu’elle l’aurait chargé de développer le contrat intelligent. À l’insu d’Infini, le développeur a conservé des privilèges d’administrateur, ce qui lui a permis d’exécuter un appel parfait qui a drainé toutes les liquidités.

    Une série d’événements s’en est suivi, alors que l’exploiteur faisait la course contre la montre pour déplacer les fonds avant qu’ils ne soient gelés, une mesure de sécurité standard pour l’USDC.

    Immédiatement après l’exploit, l’attaquant a rapidement converti les USDC volés en 17 696 ETH via des échanges décentralisés comme Uniswap, Sky Protocol et 0x Protocol, en utilisant DAI comme intermédiaire. Cette action rapide visait à sécuriser les fonds en ETH, un actif qui ne peut pas être gelé, mais seulement mis sur liste noire, ce qui en fait un pari sûr pour l’exploiteur.

    Après l’exploit, l’attaquant a divisé les fonds volés en plus petits montants et les a distribués sur de nombreuses adresses. Pour initier la transaction, l’exploiteur a financé un portefeuille nouvellement créé avec une petite quantité d’ETH pour le gaz, en utilisant Tornado Cash pour masquer l’origine du portefeuille.

    L’ETH volé a ensuite été transféré par le biais d’une série de transactions et n’avait pas encore été entièrement mélangé au moment de la rédaction de ce rapport.

    La grande question : La RPDC est-elle impliquée ?

    Des spéculations sont apparues concernant l’implication de pirates nord-coréens (RPDC), compte tenu des similitudes avec les attaques précédentes. Infini n’a pas révélé l’identité du créateur du contrat intelligent, ce qui ajoute à l’incertitude.

    Le piratage d’Infini fait suite à un exploit important chez Bybit plus tôt en 2025, où jusqu’à 1,5 milliard de dollars en ETH ont été perdus. L’attaquant de Bybit a utilisé une tactique similaire consistant à diviser les fonds avant de les mélanger, une méthode fréquemment associée au Lazarus Group par l’enquêteur de la chaîne ZachXBT.

    Bien que ce schéma éveille les soupçons, Infini n’a pas encore relié les portefeuilles de l’exploiteur à des adresses Lazarus connues.

    Rencontrez Alex, un écrivain et chercheur distingué spécialisé dans le monde dynamique de la crypto-monnaie et de la technologie blockchain. Doté d'une riche expérience et d'une passion inébranlable pour rester à la pointe de ce secteur en constante évolution, Alex est votre guide de confiance pour naviguer sur le terrain complexe des actifs numériques et de l'innovation de la blockchain. Alex est titulaire d'un doctorat en développement de la blockchain, ce qui témoigne de son expertise inégalée dans ce domaine. Son parcours éducatif, combiné à sa perspective à multiples facettes, lui permet d'exceller dans la dissection des facteurs géographiques et économiques qui façonnent le marché des crypto-monnaies, en fournissant des perspectives qui vont au-delà de la surface. Ce qui distingue Alex, ce n'est pas seulement son expertise professionnelle, mais aussi son dévouement personnel au potentiel de transformation des technologies de la blockchain. Ses compétences de recherche pointues lui permettent de rester une source fiable pour les tendances et les perspectives du secteur, vous aidant à prendre des décisions éclairées dans le monde des crypto-monnaies. Rejoignez Alex dans ce voyage passionnant à travers le royaume des crypto-monnaies, où la connaissance rencontre l'innovation, et découvrez les possibilités que recèle la révolution de la blockchain.

    Related Posts