Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 222Kompromittierung privater Schlüssel

Infini Retained-Admin-Drain

49,5 Mio. $ aus Infinis Morpho-MEVCapital-USDC-Vault abgezogen — von der Adresse, die den Contract baute und still Admin-Autorität nach dem Launch behielt.

Datum
Opfer
Infini
Chain(s)
Ethereum
Status
Mittel entwendet
Zurechnung
Original Infini smart-contract developer

Am 24. Februar 2025 verlor die Stablecoin-Neobank Infini 49,5 Millionen $ in zwei Transaktionen aus ihrem Morpho MEVCapital USDC-Vault. Die Adresse, die den Vault drainte, war kein externer Angreifer — es war die Wallet, die den Contract ursprünglich entwickelt hatte und eine privilegierte Withdraw-Rolle behielt, von deren Existenz das Infini-Team nichts wusste.

Was geschah

Infinis Vault wurde über das Morpho-Protokoll deployt, einen permissionless Lending-Markt auf Ethereum. Im Rahmen des Deployments wurde einer spezifischen Adresse — 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, kontrolliert vom ursprünglichen Smart-Contract-Entwickler — eine privilegierte Rolle gewährt, die ihr direkten Withdraw aus dem Vault erlaubte.

Nach dem Launch wurde diese Rolle nicht widerrufen. Das Infini-Team operierte unter der (falschen) Annahme, dass Eigentum und operative Kontrolle des Vaults vollständig auf sie übergegangen waren. Die Adresse des ursprünglichen Entwicklers lag monatelang ruhend.

Am 24. Februar:

  1. Die entwickler-kontrollierte Adresse rief die privilegierte Withdraw-Funktion auf und zog 11,45 Mio. $ aus dem Vault.
  2. In einer zweiten Transaktion zogen sie weitere 38,06 Mio. $.
  3. Die kombinierten rund 49,5 Mio. $ wurden in DAI geswappt, dann in 17.696 ETH (rund 49 Mio. $ damals) und in anonymisierende Routen gebridgt.

Infinis Gründer Christian stellte später öffentlich klar, der Vorfall sei kein Private-Key-Leak im traditionellen Sinne gewesen — der Angreifer war der legitime Halter des Keys, der die privilegierte Rolle kontrollierte. Die Kompromittierung war, dass die Rolle selbst niemals in Produktion existieren sollte.

Folgen

  • Infini pausierte Vault-Operationen und bot dem Angreifer eine 20-%-Bounty für die Rückgabe an. Keine Rückgabe.
  • Das Team verpflichtete sich zur 100-%-Nutzererstattung aus Unternehmens-Reserven.
  • Forensik-Firmen und On-Chain-Ermittler identifizierten die Entwickler-Wallet als Urheber des Deployment-Contracts des Vaults — ein klares Inside-Operator-Profil.

Warum es wichtig ist

Infini ist der sauberste 2025-Fall für Vendor-Developer-Key-Risiko in DeFi. Viele DeFi-Protokolle werden von externen Entwicklungs-Shops oder freiberuflichen Smart-Contract-Engineers deployt, die sich im Deployment-Prozess privilegierte Rollen für Tests geben — und vergessen, sie zu widerrufen, oder nicht darum gebeten werden. Die defensive Antwort ist bekannt und wird selten befolgt:

  • Deployment-Skripte müssen alle deployer-gehaltenen Rollen als letzten Schritt explizit widerrufen.
  • Post-Deployment-Audits sollten jede privilegierte Rolle aufzählen und ihren erwarteten Halter bestätigen, bevor sie live geht.
  • On-Chain-Monitoring sollte bei jeder dormanten Rollen-Aktivität nach einem definierten Inaktivitätsfenster alarmieren.

Infinis 49,5 Mio. $ waren der Preis dafür, alle drei Checks zu überspringen.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-infini-hack-february-2025
  2. [02]theblock.cohttps://www.theblock.co/post/342911/stablecoin-neobank-infini-exploited-for-49-million-security-analysts
  3. [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/how-infini-lost-49-million-in-a-defi-hack

Verwandte Einträge