Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 222Compromission de clé privée

Drainage à admin retenu d'Infini

49,5 M$ drainés du vault Morpho MEVCapital USDC d'Infini par l'adresse qui a construit le contrat et a discrètement gardé l'autorité admin après lancement.

Date
Victime
Infini
Chaîne(s)
Ethereum
Statut
Fonds dérobés
Attribution
Original Infini smart-contract developer

Le 24 février 2025, le neobank de stablecoin Infini a perdu 49,5 millions de dollars en deux transactions depuis son vault Morpho MEVCapital USDC. L'adresse qui a drainé le vault n'était pas un attaquant externe — c'était le wallet qui avait développé à l'origine le contrat, conservant un rôle de retrait privilégié dont l'équipe Infini ignorait l'existence.

Ce qui s'est passé

Le vault d'Infini a été déployé via le protocole Morpho, un marché de prêt permissionless sur Ethereum. Dans le cadre du déploiement, une adresse spécifique — 0xc49b5e5b9da66b9126c1a62e9761e6b2147de3e1, contrôlée par le développeur smart-contract original — s'est vue accorder un rôle privilégié qui lui permettait de retirer des fonds du vault directement.

Après le lancement, ce rôle n'a pas été révoqué. L'équipe Infini opérait sous l'hypothèse (incorrecte) que la propriété et le contrôle opérationnel du vault leur avaient été transférés entièrement. L'adresse du développeur original est restée dormante pendant des mois.

Le 24 février :

  1. L'adresse contrôlée par le développeur a appelé la fonction de retrait privilégiée et tiré 11,45 M$ du vault.
  2. Dans une seconde transaction, ils ont tiré 38,06 M$ supplémentaires.
  3. Le total combiné de ~49,5 M$ a été swappé en DAI, puis en 17 696 ETH (~49 M$ à l'époque), et bridgé vers des routes d'anonymisation.

Le fondateur d'Infini, Christian, a plus tard clarifié publiquement que l'incident n'était pas une fuite de clé privée au sens traditionnel — l'attaquant était le détenteur légitime de la clé qui contrôlait le rôle privilégié. La compromission était que le rôle lui-même n'aurait jamais dû exister en production.

Conséquences

  • Infini a suspendu les opérations du vault et offert à l'attaquant un bounty de 20 % pour le retour des fonds. Aucun retour.
  • L'équipe s'est engagée à un remboursement à 100 % des utilisateurs depuis les réserves d'entreprise.
  • Les cabinets forensiques et les investigateurs on-chain ont identifié le wallet du développeur comme l'auteur du contrat de déploiement du vault — un profil d'opérateur interne clair.

Pourquoi c'est important

Infini est le cas 2025 le plus net pour le risque de clés vendeur-développeur en DeFi. De nombreux protocoles DeFi sont déployés par des shops de développement externes ou des ingénieurs freelance smart-contract qui, dans le processus de déploiement, se donnent des rôles privilégiés pour tester — et oublient de les révoquer, ou ne sont pas demandés de le faire. La réponse défensive est bien connue et rarement suivie :

  • Les scripts de déploiement doivent explicitement révoquer tous les rôles détenus par le deployer comme étape finale.
  • Les audits post-déploiement devraient énumérer chaque rôle privilégié et confirmer son détenteur attendu avant la mise en ligne.
  • Le monitoring on-chain devrait alerter sur toute activité de rôle dormant après une fenêtre d'inactivité définie.

Les 49,5 M$ d'Infini étaient le prix d'avoir sauté les trois vérifications.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-infini-hack-february-2025
  2. [02]theblock.cohttps://www.theblock.co/post/342911/stablecoin-neobank-infini-exploited-for-49-million-security-analysts
  3. [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/how-infini-lost-49-million-in-a-defi-hack

Dépôts liés