Bien que le montant soit largement inférieur au hack de Bybit, cette histoire n’en est pas moins intéressante.

L'entreprise victime de ce vol de 50 millions de dollars s’appelle Infini. Fondée par l’entrepreneur Christian Li, cette plateforme se veut être une néo-banque utilisant la technologie blockchain et les stablecoins pour « la masse », autrement dit le grand public.

Malheureusement, l’entreprise n’a pas fait appel à la bonne personne. Contrairement à l’affaire Bybit, ce n’est pas une armée de hackers nord-coréens qui est à l’origine de la perte, mais un ancien employé.

Le principal suspect est un ancien développeur qui aurait conservé des autorisations d’administrateur après la fin de sa mission. Grâce à ces accès, il aurait été en mesure de siphonner l’argent.

L’attaque s’est déroulée en plusieurs temps.

Pour commencer, le hacker a alimenté un wallet intermédiaire avec 1 ether, afin de couvrir les frais de transactions à venir. Il a ensuite retiré 49,52 millions en USDC grâce à un smart contract créé en novembre 2024.

Afin d’éviter que l’argent soit gelé par Circle, l’entreprise émettrice de l’USDC, le voleur a rapidement swapé les stablecoins. Une partie a été changée directement en ether, l’autre en Dai puis en ether. In fine, l’ensemble des fonds volés a été réparti sur 2 adresses : l’une avec 21 807 ethers, l’autre avec 17 696.

Suivi des fonds à travers les différentes adresses, publié par l'entreprise Beosin sur X

Face à cette attaque, le PDG d’Infini, Christian Li, s’est exprimé sur X pour rassurer les utilisateurs et lancer un message d'apaisement :

I know hackers might be watching my tweets, so here’s my sincere message: I’ve done my best to show there are still good, responsible individuals in this industry. I deeply regret my mistakes and will work to make things right for my users.

I hope there’s a way to recover what…

— Christian (Building @0xinfini) (@Christianeth) February 24, 2025