Кража в 50 миллионов долларов Infini Labs — это «учебный пример внутренней атаки», говорит эксперт по безопасности.

Infini Labs, крипто-ориентированный необанк, подал в суд на инженера, которого обвиняет в хищении почти 50 миллионов долларов с платформы.

Стабильноконный цифровой банк обвиняет Чена Шаньсуаня в удержании полномочий «супер администратора», поскольку смарт-контракт криптоплатформы был запущен в основной сети. В результате инженер украл примерно 49,5 миллиона долларов США в USDC (USDC) у компании.

Infini Labs подала иск в Гонконге через свою дочернюю компанию BP SG Investment Holding Limited. Обвинение заключается в том, что как ведущий разработчик, Чен тайно сохранил доступ «суперадминистратора» и использовал эту привилегию для хищения миллионов долларов в криптовалюте из компании.

Интересно, что иск рисует образ Чена как человека в долгах и крупного игрока.

Дело касается криптовалютного провайдера кредитных карт, который пострадал от эксплуатации, в результате которой из его казны было украдено 49,5 миллиона долларов. Первоначальная реакция на потерю заключалась в том, что это была работа хакеров.

Однако иск ставит Чена в трудное положение, поскольку документы, представленные в суд, требуют заморозить активы обвиняемого. Infini Labs также попросила суд обязать своего бывшего главного инженера по смарт-контрактам раскрыть дополнительные детали транзакций.

В крипто-грабежах, которые Infini потерпела в феврале, средства исчезли без авторизации с многофакторной подписью. Чен использовал свой полный доступ, чтобы украсть, отмечает компания в иске.

Иск против Чена подан через несколько дней после того, как основатель Infini Кристиан Ли попросил «хакера» воспользоваться соглашением о белой шляпе. Сообщение Ли в блокчейне также подчеркнуло вознаграждение в 20%, которое компания предложила предполагаемому нападающему.

Ли также повторил, что Infini Labs не собирается предпринимать никаких юридических действий, если хакер выполнит предложение белого шляпы и вернет средства, как было запрошено.

Эксплуатация является «учебным примером внутренней атаки»

Технический директор и соучредитель Trugard Джеремайя О’Коннор заявил в интервью crypto.news, что этот инцидент является «учебным примером внутренней атаки» в пространстве Web3. В частности, когда один инженер имеет «неконтролируемую власть» над смарт-контрактом, это создает центральную точку отказа.

“Вместо того чтобы аннулировать свои привилегии супер администратора, как было обещано, этот инженер оставил секретную лазейку, обманул свою команду и похитил 50 миллионов долларов”, добавил О’Коннор. “Если обвинения верны, их мотив — покрытие игровых убытков — делает ситуацию еще более тревожной. Когда финансовая desperation встречает неограниченный контроль, последствия почти всегда катастрофичны. Это служит еще одним сигналом о危险ах централизованной власти в DeFi.”

Безопасность в DeFi должна основываться не только на доверии, сказал он. Если бы у Infini были реализованы децентрализованные меры безопасности, такие как мультиподписные кошельки, прозрачность в блокчейне или временные блокировки для изменений в администрировании, взлом был бы маловероятен. Таким образом, любой проект, который выделяет «абсолютный контроль» одному человеку, «просит о проблемах».

В Web3 безопасность — это не доверие; это проверяемые, обеспеченные защиты до того, как всё пойдёт наперекосяк, — заключил О’Коннор.