اینفینی (Infini)، استارتاپ فینتک مستقر در هنگکنگ در ماه فوریه دچار یک رخنه امنیتی ۴۹ میلیون دلاری شد. این در حالی بود که یکی از توسعهدهندگانی که در راهاندازی قرارداد هوشمند (Smart Contract) شرکت نقش داشت، دسترسیهای مدیریتی را ربود. اینفینی همچنین با اذعان به مهارتهای هکر، از او خواسته است تا ۸۰ درصد از وجوه را بازگرداند. و وعده داده است که هیچ پیگیری قانونی انجام نخواهد شد. در همین حال، هکر تا ۱۳ آگوست ۲۰۲۵ فرصت دارد تا این پیشنهاد را بپذیرد یا با پیامدهای قانونی روبهرو شود.
پیشنهاد کلاهسفید و مهلت نهایی
اینفینی این پیشنهاد را به عامل حمله که حدود ۱۶۸ روز پیش با ۴۹.۵ میلیون دلار از طریق یک اکسپلویت فرار کرده بود، ارائه داده است. این شرکت اعلام کرد که در صورت بازگرداندن ۸۰ درصد از وجوه سرقتشده، تمام تلاشها برای ردیابی و پیگیری قانونی را متوقف میکند. این رقم به هکر اجازه میدهد تا ۲۰ درصد معادل ۹٫۹ میلیون دلار را نگه دارد. بااینحال، تا زمان انتشار خبر، هکر این پیشنهاد را نپذیرفته است. این پیشنهاد تا ساعت ۲۰ به وقت هنگ کنگ در ۱۳ آگوست ۲۰۲۵ معتبر است. بههمین دلیل این خبر دوباره در فضا مجازی داغ شده است.
کمتر از ۵۰ ساعت تا برخورد قانونی
” کریستین لی “، بنیانگذار اینفینی، بهدلیل حرفهایگری و همدلی خود از زمان حادثه، تحسین شده است. او به جامعه اطمینان داده که تیم بهطور فعال در حال تحقیق و پیگیری ماجرا است. وی تأکید کرد که برداشت کاربران بدون مشکل ادامه دارد و در بدترین حالت، جبران کامل انجام خواهد شد. او همچنین فاش کرد که کامپیوتر هکر مشکوک شناسایی و به پلیس گزارش شده است. همچنین، در یک پیام بلاکچین، اینفینی به هکر اطلاع داد که ” آدرس مربوطه را به دقت زیر نظر دارد. و در صورت لزوم، آماده اقدام فوری برای مسدود کردن وجوه سرقتشده است. ” این شرکت در ادامه افزود: ” برای حل مسالمتآمیز این موضوع، مایل هستیم ۲۰ درصد از داراییهای سرقتشده را به شما بدهیم، به شرط آنکه وجوه را بازگردانید. “
سابقه ارتباط و هشدارها
در ماه فوریه، اینفینی به عامل حمله ۴۸ ساعت فرصت داد تا ” راهحلی سریع ” ارائه کند و هشدار داد که عدم پاسخ، ادامه تحقیقات با همکاری نهادهای قانونی را بهدنبال خواهد داشت. این پیشنهاد نادیده گرفته شد و در ۴ مارس ۲۰۲۵، پیام دوم ارسال شد که مجدداً پیشنهاد کلاهسفید را یادآوری و بر مهارتهای لازم برای انجام اکسپلویت تأکید کرد و خواستار بازگرداندن وجوه شد. آخرین و احتمالاً نهاییترین اولتیماتوم اینفینی در ۱۱ آگوست ۲۰۲۵ صادر شد و به هکر تا ۱۳ آگوست ۲۰۲۵ ساعت ۲۰ به وقت هنگ کنگ فرصت داد تا کل ۴۹.۵ میلیون دلار را بازگرداند.
شرایط توافق یا تقابل قانونی
در صورت موافقت هکر، اینفینی اعلام کرده که او میتواند هرگونه سود حاصل را بهعنوان پاداش کلاهسفید نگه دارد. آنها همچنین تضمین کتبی مبنی بر عدم اقدام قانونی را میدهند. اما در صورت عدم همکاری، پیامدهای قانونی اجراء خواهد شد، زیرا این شرکت قبلاً علیه ” چن شانشوان “، توسعهدهنده و سه فرد ناشناس مرتبط با اکسپلویت، در هنگکنگ شکایت کرده است.
نحوه وقوع اکسپلویت اولیه
به نقل از Cryptopolitan، این حمله در ۲۴ فوریه رخ داد و ۴۹ میلیون دلار در قالب یواسدی کوین (USDC) از اینفینی به سرقت رفت. گزارشها حاکی از آن است که مهاجمان از دسترسیهای مدیریتی که به صورت مخفیانه حفظ کرده بودند، سوءاستفاده کردند. مهاجم که از آدرس xc49…de3e1 فعالیت میکرد، ابتدا قرارداد را به عنوان بخشی از پروژه اینفینی توسعه داد. بااینحال، پس از تحویل، مخفیانه حقوق مدیریتی را نگه داشت و حدود صد روز بعد، آدرس خود را از طریق Tornado Cash تأمین مالی کرد. به این نحو که یک تراکنش کوچک اتریوم (ETH) برای کارمزد ارسال نمود و قرارداد را اکسپلویت کرد. در این حمله، مبلغ ۴۹.۵ میلیون دلار در دو مرحله شامل ۱۱۴۵۵۶۶۶ واحد USDC و ۳۸۰۶۰۹۹۶ واحد یواسدی کوین تخلیه شد.
گفتنی است که این اکسپلویت پس از هک Bybit اتفاق افتاد که در آن دومین صرافی بزرگ ارز دیجیتال از نظر حجم معاملات، کیف پول سرد (Cold Wallet) اتریوم خود را از دست داد. بر این اساس، هکر با حدود ۱٫۵ میلیارد دلار فرار کرد که بهعنوان بزرگترین اکسپلویت تاریخ کریپتو شناخته شد. در همین حال، بنیانگذار نئوبانک، کریستین لی، قول داده که کل خسارت را از سرمایه شخصی خود جبران کند. او مسئولیت این حادثه را پذیرفته است. اکنون که زمان رو به پایان است، نگاه بسیاری به این ماجرا دوخته شده تا ببینند هکر پیشنهاد را میپذیرد یا تا آخرین لحظه مقاومت میکند.
