El robo de $50 millones de Infini Labs es un ‘ataque interno de manual’, dice un experto en seguridad

Infini Labs, un neobanco enfocado en criptomonedas, ha presentado una demanda contra un ingeniero al que acusa de malversar casi $50 millones de la plataforma.

El banco digital de stablecoin acusa a Chen Shanxuan de retener la autoridad de “super admin” cuando el contrato inteligente de la plataforma de criptomonedas se activó en la mainnet. Como resultado, el ingeniero robó aproximadamente $49.5 millones en USDC (USDC) de la empresa.

Infini Labs presentó su demanda en Hong Kong, a través de su filial BP SG Investment Holding Limited. La acusación es que, como desarrollador principal, Chen retuvo secretamente el acceso de ‘super admin’ y utilizó este privilegio para malversar millones de dólares en criptomonedas de la empresa.

Curiosamente, la demanda pinta el retrato de Chen como un hombre endeudado y un gran jugador.

El caso sigue al proveedor de tarjetas de crédito de criptomonedas que sufrió un exploit que vio $49.5 millones drenados de sus arcas. La reacción inicial a la pérdida fue que esto fue obra de hackers.

Sin embargo, la demanda pone a Chen en una situación difícil, con documentos presentados ante el tribunal pidiendo que se congelen los activos de la persona acusada. Infini Labs también ha solicitado al tribunal que obligue a su antiguo ingeniero principal de contratos inteligentes a revelar más detalles de las transacciones.

En el robo de criptomonedas que Infini sufrió en febrero, los fondos habían desaparecido sin la autorización de múltiples firmas. Chen utilizó su acceso completo para robar, señala la empresa en la demanda.

La demanda contra Chen llega días después de que el fundador de Infini, Christian Li, pidiera al “hacker” que aceptara un acuerdo de sombrero blanco. El mensaje en la cadena de Li también destacó una recompensa del 20% que la compañía ofreció al atacante sospechoso.

Li también reiteró que Infini Labs no iba a tomar ninguna acción legal si el hacker cumplía con la oferta de sombrero blanco y devolvía los fondos como se solicitó.

La explotación es un ‘ejemplo de libro de texto de un ataque interno’

El CTO y cofundador de Trugard, Jeremiah O’Connor, dijo a crypto.news en una declaración que el exploit es un “ejemplo de libro de texto de un ataque interno” dentro del espacio Web3. Específicamente, cuando un solo ingeniero tiene “poder sin control” sobre un contrato inteligente, crea un punto central de falla.

“En lugar de revocar sus privilegios de superadministrador como se prometió, este ingeniero mantuvo una puerta trasera secreta, engañó a su propio equipo y se llevó $50 millones”, agregó O’Connor. “Si las acusaciones son ciertas, su motivo—cubrir pérdidas de apuestas—hace que la situación sea aún más alarmante. Cuando la desesperación financiera se encuentra con un control sin restricciones, los resultados son casi siempre catastróficos. Esto sirve como otro llamado de atención sobre los peligros de la autoridad centralizada en DeFi.”

La seguridad en DeFi debe basarse en más que solo la confianza, dijo. Si Infini hubiera tenido implementadas salvaguardas descentralizadas como billeteras de múltiples firmas, transparencia en la cadena o bloqueos temporales para cambios administrativos, una explotación no habría sido probable. Por lo tanto, cualquier proyecto que otorgue “control absoluto” a una sola persona está “pidiendo problemas.”

En Web3, la seguridad no se trata de confianza; se trata de protecciones verificables y aplicadas antes de que las cosas salgan mal”, concluyó O’Connor.