20 марта блокчейн-платформа данных Etherscan показала, что команда цифрового банка стейблкоинов Infini отправила уведомление о судебном иске на адрес хакера (0xfc…6e49) посредством ончейн-сообщения и приложила подробные документы судебного разбирательства. В этом деле речь идет о хищении активов на сумму 49,51 млн долларов США, что привлекло широкое внимание в отрасли.

Истцом в иске является Чжоу Кристиан-Лонг, генеральный директор BP SG Investment Holding Limited, дочерней компании Infini Labs, полностью принадлежащей компании. Одним из ответчиков является Чэнь Шаньсюань (китайское имя Чэнь Шаньсюань), инженер из Фошаня, провинция Гуандун, Китай. Личности двух-четырех других ответчиков пока не подтверждены.

Infini был угнан в конце февраля этого года, а подозреваемый был официально установлен всего месяц спустя? Какова правда?

Тайное сохранение прав администратора и украденных огромных сумм денег

Согласно иску, Infini — это цифровой банк, который объединяет криптовалюту и традиционные финансовые услуги. Его основные направления деятельности включают предоставление платежных решений, высокодоходных счетов и услуг криптовалютных карт через стейблкоин USDC. Истец Чоу Кристиан-Лонг заявил в иске, что Infini сотрудничала с BP Singapore с целью разработки смарт-контракта для управления безопасным хранением и переводом средств компании и клиентов. Договор был составлен первым ответчиком, Чэнь Шаньсюанем, и был разработан механизм множественной подписи, гарантирующий, что любой перевод средств должен быть одобрен несколькими уполномоченными лицами, что повышает безопасность средств.

Однако ситуация резко изменилась после запуска смарт-контракта в основной сети. В иске утверждается, что Чэнь в частном порядке сохранил за собой привилегии суперадминистратора во время процесса развертывания контракта и лгал другим членам команды, что он лишил их или передал.

24 февраля истец обнаружил, что около 49,51 млн долларов США были выведены из пула финансирования без разрешения, и средства были отправлены на несколько неизвестных адресов кошельков без проверки с помощью мультиподписи. Согласно предварительному расследованию, средства были впоследствии конвертированы в DAI и использованы для быстрой покупки 17 696 Ethereum (ETH), которые в конечном итоге были распределены по нескольким адресам. Часть средств можно отследить до инструмента конфиденциальности Tornado Cash.

Высоко оцененный инженер зарабатывает миллион долларов в год, но он все портит, играя на контрактах

В исковых документах указано, что первый ответчик, Чэнь Шаньсюань, работал в BP Singapore, дочерней компании Infini, но его основное рабочее место находилось в городе Фошань, провинция Гуандун, Китай, и он перешел на удаленную модель работы. Как главный разработчик смарт-контракта, Чэнь имеет основные полномочия в проекте. В документе говорится, что, хотя он проработал в компании недолгое время, ему была предоставлена ​​роль суперадминистратора контракта на управление фондом, что давало ему абсолютный контроль над контрактом. Инсайдеры отрасли проанализировали, что причиной инцидента могла стать халатность Infini при распределении полномочий.

Кроме того, истец упомянул в заявлении, что недавно узнал, что Чэнь Шаньсюань имеет серьезную зависимость от азартных игр и в результате этого мог наделать огромных долгов. Документ включал несколько скриншотов записей сообщений, в которых Чэнь в разговорах с другими признавался, что он все испортил, и показывал свое отчаяние по поводу жизни, говоря, что иногда ему действительно хотелось покончить со всем этим, и что жизнь была слишком утомительной.

Кроме того, истец упомянул в заявлении, что недавно узнал, что Чэнь Шаньсюань имеет серьезную зависимость от азартных игр и в результате этого мог наделать огромных долгов. К документу были прикреплены несколько скриншотов записей сообщений, в которых Чэнь в разговорах с другими признавался, что он все испортил, и показывал свое отчаяние по поводу жизни, говоря, что иногда ему действительно хотелось покончить со всем этим и что жизнь слишком утомительна.

Поэтому истцы предположили, что игровые долги могли стать основным мотивом кражи активов Чэнем. По словам Колина Ву, Чэнь ранее был образцом для подражания в плане обмена знаниями среди технического персонала биржи. Хотя он зарабатывал миллион в год, он продолжал брать деньги в долг у самых разных людей, открывал контракты на суммы в 100 раз больше и брал все больше и больше онлайн-займов, в конечном итоге оказавшись на пути без возврата. Однако истинные мотивы Чэня еще требуют дальнейшего расследования судом.

Суд Гонконга проведет слушание 27 марта

Дальнейшее развитие этого дела может включать несколько уровней. Основная цель истцов — заморозить украденные активы и возместить убытки. Гонконгский суд принял дело к рассмотрению и назначил слушание под председательством судьи Лока на 9:30 утра 27 марта 2025 года, на котором будет рассмотрен судебный запрет. Если Чэнь или другие ответчики не явятся в суд, суд может вынести решение заочно.

Прозрачность блокчейна облегчает отслеживание активов, но если хакеры отмывают средства через сервисы смешивания валют (например, Tornado Cash), сложность восстановления значительно возрастет. Ранее Infini предупредила хакера посредством сообщения в сети и заявила, что заморозила часть средств (примерно 43 миллиона долларов). Однако если оставшиеся средства будут переведены на нерегулируемый адрес, надежда на их возвращение станет призрачной.

Кроме того, собственное положение Чэня также привлекло много внимания. Ему могут быть предъявлены уголовные обвинения в соответствии с правовыми системами Гонконга и Сингапура. Если его проблема с долгами по азартным играм верна, полиция может провести дополнительное расследование источника его средств и выяснить, участвует ли он в другой преступной деятельности. Некоторые аналитики отмечают, что если Чэнь будет задержан, дело может быть передано на стадию судебного разбирательства.

Настройки разрешений кошелька с мультиподписью таят в себе скрытые опасности

Кража Infini — не единичный случай. В начале 2025 года в криптовалютной индустрии произошел ряд инцидентов безопасности, таких как взлом биржи Bybit на сумму 1,4 млрд долларов США 21 февраля, что подчеркнуло риски безопасности, которые все еще существуют в этой быстро развивающейся отрасли. С момента запуска в 2024 году Infini привлекла большое количество пользователей своими инновационными платежными сервисами стейблкоинов и высокодоходными продуктами. Однако этот инцидент выявил слабые стороны внутреннего управления и технического аудита.

Эксперты по безопасности блокчейна проанализировали, что если обвинения в иске верны, поведение Чэнь Шаньсюаня является типичной внутренней атакой. Неспособность Infini внедрить достаточные децентрализованные меры безопасности, такие как кошельки с несколькими подписями, механизмы блокировки по времени или сторонние аудиты до того, как смарт-контракт был запущен в сеть, стала важной причиной инцидента. Инсайдер из отрасли прокомментировал: «Руководство Infini виновато в том, что передало столь важные полномочия недавно нанятому удаленному сотруднику без строгого контроля».

Дело Infini против Чена в очередной раз вызвало тревогу по поводу безопасности в отрасли. Поскольку технология блокчейн все больше интегрируется в финансовую систему, основателям приходится сталкиваться с важными проблемами, такими как организация управления разрешениями, аудита и перекрестной проверки, предотвращение получения важных разрешений нечестными участниками контрактов и распределение усилий на архитектуру с нулевым доверием.

По мере развития судебного процесса могут всплыть новые подробности дела, и вся правда о краже Чэня может раскрыться.