Грабіж Infini Labs на 50 мільйонів доларів – це «підручникова внутрішня атака», каже експерт з безпеки

Infini Labs, криптоорієнтований нео-банк, подав позов проти інженера, якого звинувачує в привласненні майже 50 мільйонів доларів з платформи.

Стабільна монета цифрового банку звинувачує Чена Шаньсюаня в утриманні “супер адміністративних” прав, оскільки смарт-контракт криптоплатформи запрацював у основній мережі. В результаті інженер вкраў приблизно 49,5 мільйона USDC (USDC) з компанії.

Infini Labs подала позов у Гонконзі через свою дочірню компанію BP SG Investment Holding Limited. Звинувачення полягає в тому, що як ведучий розробник, Чень таємно зберігав доступ ‘супер адміністратора’ і використовував цю привілегію для привласнення мільйонів доларів у криптовалюті з компанії.

Цікаво, що позов малює образ Чена як чоловіка в боргах і великого азартного гравця.

Справа стосується постачальника кредитних карток на базі криптовалюти, який зазнав збитків від експлуатації, внаслідок якої з його рахунків було виведено 49,5 мільйона доларів. Первісна реакція на втрату полягала в тому, що це була робота хакерів.

Однак позов ставить Чена в складне становище, оскільки документи, представлені в суді, просять заморозити активи обвинуваченого. Infini Labs також попросила суд змусити свого колишнього головного інженера смарт-контрактів розкрити додаткові деталі транзакцій.

У крипто-викраденні, яке сталося з Infini в лютому, кошти зникли без авторизації з багатопідписом. Чен використав свій повний доступ, щоб вкрасти, зазначає компанія в позові.

Позов проти Чена надійшов через кілька днів після того, як засновник Infini Крістіан Лі попросив “хакера” скористатися угодою про білий капелюх. Повідомлення Лі в ланцюгу також підкреслило винагороду в 20%, яку компанія запропонувала підозрюваному нападнику.

Лі також повторив, що Infini Labs не буде вживати жодних юридичних дій, якщо хакер погодиться на пропозицію білих капелюхів і поверне кошти, як було запрошено.

Витік є «підручниковим прикладом атаки зсередини»

CTO та співзасновник Trugard Джеремая О’Коннор повідомив crypto.news у заяві, що експлуатація є “підручниковим прикладом атаки зсередини” в просторі Web3. Зокрема, коли один інженер має “неконтрольовану владу” над смарт-контрактом, це створює центральну точку відмови.

“Замість того, щоб відкликати їхні супер адмінські привілеї, як обіцяли, цей інженер залишив таємний бекдор, обманув власну команду та втік з $50 мільйонами,” додав О’Коннор. “Якщо звинувачення правдиві, їхній мотив — покриття гральних збитків — робить ситуацію ще більш тривожною. Коли фінансова відчайдушність зустрічається з необмеженим контролем, результати майже завжди катастрофічні. Це ще один сигнал про небезпеки централізованої влади в DeFi.”

Безпека в DeFi повинна спиратися не лише на довіру, сказав він. Якщо б у Infini були впроваджені децентралізовані засоби захисту, такі як багатопідписні гаманці, прозорість в ланцюгу або таймлоки для змін адміністратора, то експлуатація, ймовірно, не відбулася б. Таким чином, будь-який проект, який надає “абсолютний контроль” одній особі, “просить про неприємності.”

У Web3 безпека не полягає в довірі; це про перевірені, забезпечені заходи захисту до того, як щось піде не так,” - підсумував О’Коннор.