Le vol de 50 millions de dollars d'Infini Labs est une « attaque interne de manuel », déclare un expert en sécurité.

Infini Labs, une néobanque axée sur la cryptomonnaie, a déposé une plainte contre un ingénieur qu’elle accuse d’avoir détourné près de 50 millions de dollars de la plateforme.

La banque numérique stablecoin accuse Chen Shanxuan d’avoir conservé l’autorité de « super administrateur » alors que le contrat intelligent de la plate-forme crypto a été mis en ligne sur le réseau principal. En conséquence, l’ingénieur a volé environ 49,5 millions de dollars en (USDC) USDC à l’entreprise

Infini Labs a déposé sa plainte à Hong Kong, par l’intermédiaire de sa filiale BP SG Investment Holding Limited. L’allégation est qu’en tant que développeur principal, Chen a secrètement conservé un accès ‘super admin’ et a utilisé ce privilège pour détourner des millions de dollars en crypto-monnaie de l’entreprise.

Il est intéressant de noter que le procès dépeint Chen comme un homme endetté et un joueur compulsif.

L’affaire concerne le fournisseur de cartes de crédit en cryptomonnaie qui a subi une exploitation ayant drainé 49,5 millions de dollars de ses coffres. La réaction initiale face à cette perte était que c’était l’œuvre de hackers.

Cependant, le procès met Chen en difficulté, avec des documents présentés devant le tribunal demandant que les actifs de la personne accusée soient gelés. Infini Labs a également demandé au tribunal de contraindre son ancien ingénieur principal en contrats intelligents à divulguer d’autres détails sur les transactions.

Dans le vol de crypto-monnaie dont Infini a été victime en février, des fonds avaient disparu sans l’autorisation multi-signature. Chen a utilisé son accès complet pour voler, note la société dans le procès.

Le procès contre Chen survient quelques jours après que le fondateur d’Infini, Christian Li, a demandé au « hacker » de conclure un accord de chapeau blanc avec la société. Le message en chaîne de Li a également souligné une prime de 20 % que l’entreprise a offerte à l’attaquant présumé.

Li a également réitéré qu’Infini Labs n’allait pas prendre de mesures légales si le hacker acceptait l’offre du white hat et retournait les fonds comme demandé.

L’exploitation est un « exemple classique d’attaque interne »

Le CTO et co-fondateur de Trugard, Jeremiah O’Connor, a déclaré à crypto.news dans une déclaration que l’exploitation est un “exemple classique d’une attaque interne” dans l’espace Web3. Plus précisément, lorsqu’un seul ingénieur détient un “pouvoir non contrôlé” sur un contrat intelligent, cela crée un point central de défaillance.

« Au lieu de révoquer leurs privilèges de super-administrateur comme promis, cet ingénieur a gardé une porte dérobée secrète, a trompé sa propre équipe et s’est enfui avec 50 millions de dollars », a ajouté O’Connor. « Si les allégations sont vraies, leur motif – couvrir les pertes de jeu – rend la situation encore plus alarmante. Lorsque le désespoir financier rencontre un contrôle sans restriction, les résultats sont presque toujours catastrophiques. Il s’agit d’un nouveau signal d’alarme sur les dangers de l’autorité centralisée dans la DeFi.

La sécurité dans DeFi doit s’appuyer sur plus que la simple confiance, a-t-il déclaré. Si Infini avait mis en place des mesures de protection décentralisées comme des portefeuilles multi-signatures, une transparence en chaîne ou des verrous temporels pour les changements administratifs, une exploitation n’aurait probablement pas eu lieu. En tant que tel, tout projet qui accorde un “contrôle absolu” à une seule personne “demande des ennuis.”

Dans le Web3, la sécurité n’est pas une question de confiance ; il s’agit de protections vérifiables et appliquées avant que les choses ne tournent mal », a conclu M. O’Connor.