インフィニラボの5000万ドルの強奪は「教科書通りの内部攻撃」とセキュリティ専門家が言う

2025-03-20 15:14:42

暗号に特化したネオバンクであるInfini Labsは、プラットフォームから約5000万ドルを横領したとされるエンジニアに対して訴訟を提起しました。

そのステーブルコインデジタルバンクは、暗号プラットフォームのスマートコントラクトがメインネットで稼働する際に、陳山選が「スーパー管理者」権限を保持していたと非難しています。その結果、エンジニアは会社から約4950万ドルのUSDC (USDC)を盗みました。

インフィニラボは、子会社のBP SGインベストメントホールディングリミテッドを通じて香港で訴訟を提起しました。告発の内容は、主開発者であるチェンが秘密裏に‘スーパ管理者’アクセスを保持し、この特権を利用して会社から数百万ドルの暗号を横領したというものです。

興味深いことに、訴訟はチェンを借金を抱えた男であり、巨額のギャンブラーとして描いています。

このケースは、暗号通貨クレジットカードプロバイダーが、4950万ドルがその金庫から盗まれるという攻撃を受けたことによるものである。損失に対する最初の反応は、これはハッカーの仕業であるというものであった。

しかし、この訴訟はチェンを窮地に立たせており、裁判所に提出された書類では、被告の資産を凍結するよう求めています。インフィニラボは、元リードスマートコントラクトエンジニアにさらなる取引の詳細を開示するよう裁判所に強制することも求めています。

2月にInfiniが被った暗号資産の強盗事件では、資金がマルチシグネチャの承認なしに消失した。訴訟で会社は、Chenが完全なアクセスを利用して盗んだと述べている。

チェンに対する訴訟は、インフィニの創設者クリスチャン・リーが「ハッカー」に対してホワイトハット契約を申し出てから数日後に起こった。リーのオンチェーンメッセージは、同社が疑われる攻撃者に提供した20%の報奨金も強調した。

リー氏はまた、ハッカーがホワイトハットの提案に従い、要求された資金を返還した場合、インフィニラボが法的措置を取ることはないと再確認しました。

エクスプロイトは「インサイダー攻撃の教科書的な例」です

TrugardのCTOで共同創設者のジェレミア・オコナーは、crypto.newsに対して、この脆弱性はWeb3空間における「内部攻撃の教科書的な例」であると述べました。具体的には、単一のエンジニアがスマートコントラクトに対して「無制限の権限」を持つと、中央集権的な失敗点が生まれます。

「約束通りに彼らのスーパ管理者権限を取り消す代わりに、このエンジニアは秘密のバックドアを保持し、自分のチームを欺き、5000万ドルを持ち去った」とオコナーは付け加えた。「もしその告発が真実なら、彼らの動機—ギャンブルの損失を隠すこと—は状況をさらに憂慮すべきものにする。金融的な絶望が無制限の権限と出会うと、その結果はほぼ常に壊滅的だ。このことはDeFiにおける中央集権的権限の危険性についてのさらなる警鐘となる。」

DeFiのセキュリティは、単なる信頼以上のものに依存する必要があると同氏は述べています。Infiniがマルチシグウォレット、オンチェーンの透明性、管理者変更のタイムロックなどの分散型セーフガードを導入していれば、エクスプロイトはありそうになかったでしょう。そのため、一人の個人に「絶対的なコントロール」を割り当てるプロジェクトは、「トラブルを招いている」ことになります。