Perampokan Infini Labs senilai $50 juta adalah ‘serangan dalam yang sesuai buku teks,’ kata pakar keamanan

Infini Labs, sebuah neobank yang fokus pada kripto, telah mengajukan gugatan terhadap seorang insinyur yang dituduhnya telah menggelapkan hampir $50 juta dari platform tersebut.

Bank digital stablecoin menuduh Chen Shanxuan mempertahankan wewenang “super admin” saat kontrak pintar platform kripto tersebut diluncurkan di mainnet. Akibatnya, insinyur tersebut mencuri sekitar $49,5 juta dalam USDC (USDC) dari perusahaan.

Infini Labs mengajukan gugatan di Hong Kong, melalui anak perusahaannya BP SG Investment Holding Limited. Tuduhannya adalah bahwa sebagai pengembang utama, Chen secara diam-diam mempertahankan akses ‘super admin’ dan menggunakan hak istimewa ini untuk menggelapkan jutaan dolar dalam kripto dari perusahaan tersebut.

Menariknya, gugatan tersebut menggambarkan Chen sebagai seorang lelaki yang berutang dan seorang penjudi besar.

Kasus ini mengikuti penyedia kartu kredit cryptocurrency yang menderita akibat eksploitasi yang menyebabkan $49,5 juta terkuras dari kasnya. Reaksi awal terhadap kerugian tersebut adalah bahwa ini adalah hasil kerja para peretas.

Namun, gugatan tersebut menempatkan Chen dalam posisi sulit, dengan dokumen yang diajukan di hadapan pengadilan meminta agar aset orang yang dituduh dibekukan. Infini Labs juga telah meminta pengadilan untuk memaksa mantan insinyur kontrak pintar utamanya untuk mengungkapkan rincian transaksi lebih lanjut.

Dalam pencurian crypto yang dialami Infini pada bulan Februari, dana menghilang tanpa otorisasi multi-tanda tangan. Chen menggunakan akses penuhnya untuk mencuri, kata perusahaan dalam gugatan.

Gugatan terhadap Chen datang beberapa hari setelah pendiri Infini, Christian Li, meminta “peretas” untuk menerima kesepakatan topi putih dari perusahaan. Pesan on-chain Li juga menyoroti bounty 20% yang ditawarkan perusahaan kepada pelaku yang dicurigai.

Li juga menegaskan bahwa Infini Labs tidak akan mengambil tindakan hukum jika peretas mematuhi tawaran white hat dan mengembalikan dana seperti yang diminta.

Eksploitasi adalah ‘contoh buku teks dari serangan orang dalam’

CTO dan co-founder Trugard Jeremiah O’Connor mengatakan kepada crypto.news dalam sebuah pernyataan bahwa eksploitasi ini adalah “contoh buku teks dari serangan orang dalam” di ruang Web3. Secara spesifik, ketika seorang insinyur tunggal memegang “kekuasaan yang tidak terkontrol” atas sebuah kontrak pintar, itu menciptakan titik kegagalan yang pusat.

“Alih-alih mencabut hak istimewa admin super mereka seperti yang dijanjikan, insinyur ini menyimpan pintu belakang rahasia, menipu tim mereka sendiri, dan menghasilkan $ 50 juta,” tambah O’Connor. “Jika tuduhan itu benar, motif mereka — menutupi kerugian judi — membuat situasinya semakin mengkhawatirkan. Ketika keputusasaan finansial bertemu dengan kontrol yang tidak terbatas, hasilnya hampir selalu menjadi bencana besar. Ini berfungsi sebagai peringatan lain tentang bahaya otoritas terpusat di DeFi.”

Keamanan dalam DeFi harus bergantung pada lebih dari sekadar kepercayaan, katanya. Jika Infini memiliki langkah-langkah pengaman terdesentralisasi seperti dompet multi-tanda tangan, transparansi on-chain, atau kunci waktu untuk perubahan admin, maka sebuah eksploitasi tidak mungkin terjadi. Dengan demikian, proyek apa pun yang memberikan “kontrol absolut” kepada satu individu adalah “mencari masalah.”

Dalam Web3, keamanan bukan tentang kepercayaan; itu tentang perlindungan yang dapat diverifikasi dan ditegakkan sebelum segalanya menjadi buruk,” kata O’Connor.