Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 222Compromiso de clave privada

Drenaje por admin retenido en Infini

49,5 M$ drenados del vault Morpho MEVCapital USDC de Infini por la dirección que construyó el contrato y conservó la autoridad admin tras el lanzamiento.

Fecha
Víctima
Infini
Cadena(s)
Ethereum
Estado
Fondos robados
Atribución
Original Infini smart-contract developer

El 24 de febrero de 2025, el neobanco de stablecoin Infini perdió 49,5 millones de dólares en dos transacciones desde su vault Morpho MEVCapital USDC. La dirección que drenó el vault no era un atacante externo: era la wallet que había desarrollado originalmente el contrato, conservando un rol privilegiado de retiro que el equipo de Infini no sabía que existía.

Qué ocurrió

El vault de Infini fue desplegado mediante el protocolo Morpho, un mercado de préstamo permissionless en Ethereum. Como parte del despliegue, a una dirección específica —0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, controlada por el desarrollador original del contrato inteligente— se le concedió un rol privilegiado que le permitía retirar fondos del vault directamente.

Tras el lanzamiento, este rol no fue revocado. El equipo de Infini operaba bajo la (incorrecta) asunción de que la propiedad y el control operativo del vault se les había transferido por completo. La dirección del desarrollador original permaneció inactiva durante meses.

El 24 de febrero:

  1. La dirección controlada por el desarrollador llamó a la función privilegiada de retiro y sacó 11,45 M$ del vault.
  2. En una segunda transacción, sacaron otros 38,06 M$.
  3. Los combinados ~49,5 M$ se cambiaron a DAI, luego a 17.696 ETH (~49 M$ en su momento), y se bridgearon a rutas de anonimización.

El fundador de Infini, Christian, aclaró luego públicamente que el incidente no fue una filtración de clave privada en el sentido tradicional: el atacante era el poseedor legítimo de la clave que controlaba el rol privilegiado. El compromiso fue que se suponía que el rol en sí no debía existir en producción.

Consecuencias

  • Infini pausó las operaciones del vault y ofreció al atacante una recompensa del 20% por la devolución de los fondos. Sin devolución.
  • El equipo se comprometió al reembolso del 100% a los usuarios con reservas corporativas.
  • Las firmas forenses e investigadores on-chain identificaron la wallet del desarrollador como originadora del contrato de despliegue del vault: un perfil claro de operador interno.

Por qué importa

Infini es el caso más limpio de 2025 sobre el riesgo de claves de proveedores/desarrolladores en DeFi. Muchos protocolos DeFi son desplegados por talleres externos de desarrollo o ingenieros freelance de contratos inteligentes que, en el proceso de despliegue, se conceden roles privilegiados para pruebas y olvidan revocarlos, o no se les pide. La respuesta defensiva es bien conocida y raramente seguida:

  • Los scripts de despliegue deben revocar explícitamente todos los roles en manos del deployer como paso final.
  • Las auditorías post-despliegue deben enumerar cada rol privilegiado y confirmar su tenedor esperado antes de salir en vivo.
  • El monitoreo on-chain debería alertar de cualquier actividad de rol inactivo tras una ventana definida de inactividad.

Los 49,5 M$ de Infini fueron el precio de saltarse las tres comprobaciones.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-infini-hack-february-2025
  2. [02]theblock.cohttps://www.theblock.co/post/342911/stablecoin-neobank-infini-exploited-for-49-million-security-analysts
  3. [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/how-infini-lost-49-million-in-a-defi-hack

Registros relacionados