O roubo de $50 milhões da Infini Labs é um 'ataque interno de manual', diz especialista em segurança.

Infini Labs, um neobank focado em criptomoedas, apresentou uma ação judicial contra um engenheiro que acusa de desviar quase 50 milhões de dólares da plataforma.

O banco digital de stablecoin acusa Chen Shanxuan de reter a autoridade de “super admin” quando o contrato inteligente da plataforma cripto foi ativado na mainnet. Como resultado, o engenheiro roubou aproximadamente $49,5 milhões em USDC (USDC) da empresa.

A Infini Labs apresentou sua ação judicial em Hong Kong, por meio de sua subsidiária BP SG Investment Holding Limited. A alegação é que, como desenvolvedor principal, Chen secretamente manteve acesso ‘super admin’ e usou esse privilégio para desviar milhões de dólares em cripto da empresa.

Curiosamente, o processo judicial pinta a imagem de Chen como um homem endividado e um grande apostador.

O caso segue a provedora de cartões de crédito de criptomoeda que sofreu uma exploração que viu $49.5 milhões drenados de seus cofres. A reação inicial à perda foi que isso era obra de hackers.

No entanto, o processo judicial coloca Chen em uma situação complicada, com documentos apresentados perante o tribunal pedindo que os ativos da pessoa acusada sejam congelados. A Infini Labs também pediu ao tribunal que obrigasse seu ex-engenheiro principal de contratos inteligentes a divulgar mais detalhes sobre as transações.

No roubo de criptomoedas que a Infini sofreu em Fevereiro, os fundos desapareceram sem a autorização de múltiplas assinaturas. Chen usou seu acesso total para roubar, observa a empresa na ação judicial.

A ação judicial contra Chen ocorre dias depois que o fundador da Infini, Christian Li, pediu ao “hacker” para aceitar um acordo de chapéu branco. A mensagem on-chain de Li também destacou uma recompensa de 20% que a empresa ofereceu ao suposto atacante.

Li também reiterou que a Infini Labs não iria tomar nenhuma ação legal se o hacker aceitasse a oferta do chapéu branco e devolvesse os fundos conforme solicitado.

O exploit é um ‘exemplo clássico de um ataque interno’

O CTO e co-fundador da Trugard, Jeremiah O’Connor, disse ao crypto.news em uma declaração que a exploração é um “exemplo clássico de um ataque interno” dentro do espaço Web3. Especificamente, quando um único engenheiro detém “poder não verificado” sobre um contrato inteligente, isso cria um ponto central de falha.

“Em vez de revogar os seus privilégios de super administrador como prometido, este engenheiro manteve uma porta dos fundos secreta, enganou a sua própria equipa e fugiu com 50 milhões de dólares,” acrescentou O’Connor. “Se as alegações forem verdadeiras, o seu motivo—cobrir perdas de jogo—torna a situação ainda mais alarmante. Quando a desespero financeiro encontra controle irrestrito, os resultados são quase sempre catastróficos. Isso serve como mais um alerta sobre os perigos da autoridade centralizada no DeFi.”

A segurança no DeFi deve depender de mais do que apenas confiança, disse ele. Se a Infini tivesse implementado salvaguardas descentralizadas como carteiras multi-assinatura, transparência em cadeia ou bloqueios temporais para mudanças administrativas, uma exploração não seria provável. Assim, qualquer projeto que aloque “controle absoluto” a um indivíduo está “a pedir problemas.”

No Web3, a segurança não é sobre confiança; é sobre proteções verificáveis e aplicadas antes que as coisas fiquem complicadas”, concluiu O’Connor.