스마트 계약 취약점 악용해 USDC 유출
관리자 권한 악용한 공격
홍콩에 본사를 둔 스테이블코인 네오뱅크 및 결제 플랫폼 인피니(Infini)가 해킹 공격을 받아 약 4,900만 달러(약 710억원)의 손실을 입었다고 더블록이 보도했다.
사이버스(Cyvers)와 블록섹(Blocksec)의 보안 분석가들은 이번 공격의 피해 대상이 인피니였음을 확인했다.
온체인 데이터에 따르면, 해커는 인피니와 연관된 스마트 계약에서 4,900만 달러 상당의 USDC를 유출했다.
유출된 자금은 프라이버시 강화 도구인 토네이도 캐시(Tornado Cash)에서 자금을 받은 특정 주소로 전송되었으며, 이후 이더리움으로 변환된 것으로 나타났다.
사이버스 측은 공격자가 스마트 계약의 관리 권한을 악용해 자금을 탈취했다고 분석했다.
미국 블록체인 보안 스타트업 블록섹은 해커가 특정 스마트 계약 주소(0x9A7)를 사용하여 공격을 감행했으며, 이는 원래 인피니 프로젝트의 일부로 개발된 주소였다고 설명했다.
또한, 해커는 (0xc49b5) 주소를 통해 스마트 계약 설정을 변경하고 전체 자금을 인출한 것으로 분석됐다.
인피니 창립자, 사용자 보상 계획 발표
인피니의 창립자인 크리스찬은 X(구 트위터)를 통해 스마트 계약 권한을 실수로 이전한 것이 공격의 원인이며, 개인 키 유출은 아니라고 해명했다.
그는 또한 유동성에는 문제가 없으며, 피해를 입은 사용자들에게 보상이 제공될 것이라고 밝혔다.
이번 인피니 해킹 사건은 2월 21일 발생한 바이비트의 14억 달러 역대 최대 규모의 해킹 이후 발생한 보안사고다.
