Vụ trộm 50 triệu đô la của Infini Labs là một ‘cuộc tấn công nội bộ theo sách giáo khoa,’ theo lời chuyên gia an ninh.

Infini Labs, một ngân hàng số tập trung vào tiền điện tử, đã đệ đơn kiện một kỹ sư mà họ cáo buộc đã tham ô gần 50 triệu đô la từ nền tảng.

Ngân hàng kỹ thuật số stablecoin cáo buộc Chen Shanxuan giữ quyền “super admin” khi hợp đồng thông minh của nền tảng crypto được đưa vào mạng chính. Kết quả là, kỹ sư này đã đánh cắp khoảng 49,5 triệu USD trong USDC (USDC) từ công ty.

Infini Labs đã nộp đơn kiện tại Hồng Kông, thông qua công ty con BP SG Investment Holding Limited. Cáo buộc là Chen, với tư cách là nhà phát triển chính, đã bí mật giữ quyền truy cập ‘super admin’ và sử dụng quyền này để biển thủ hàng triệu đô la tiền điện tử từ công ty.

Thú vị thay, vụ kiện mô tả Chen như một người đang mắc nợ và là một tay đánh bạc khổng lồ.

Vụ việc theo sau sự tổn thất của nhà cung cấp thẻ tín dụng tiền điện tử khi bị khai thác, dẫn đến việc 49,5 triệu đô la bị rút ra khỏi kho bạc của họ. Phản ứng ban đầu đối với tổn thất này là cho rằng đây là hành vi của những kẻ hack.

Tuy nhiên, vụ kiện đã đặt Chen vào thế khó, với các tài liệu được trình bày trước tòa yêu cầu rằng tài sản của người bị cáo buộc phải được đóng băng. Infini Labs cũng đã yêu cầu tòa án buộc cựu kỹ sư hợp đồng thông minh chính của mình phải tiết lộ thêm chi tiết giao dịch.

Trong vụ cướp tiền điện tử mà Infini phải chịu vào tháng Hai, các quỹ đã biến mất mà không có sự ủy quyền đa chữ ký. Chen đã sử dụng quyền truy cập đầy đủ của mình để đánh cắp, công ty lưu ý trong đơn kiện.

Vụ kiện chống lại Chen diễn ra vài ngày sau khi người sáng lập Infini, Christian Li, yêu cầu “hacker” chấp nhận thỏa thuận mũ trắng của công ty. Tin nhắn trên chuỗi của Li cũng nhấn mạnh phần thưởng 20% mà công ty đã đề xuất cho kẻ tấn công bị nghi ngờ.

Li cũng nhấn mạnh rằng Infini Labs sẽ không thực hiện bất kỳ hành động pháp lý nào nếu hacker tuân thủ đề nghị mũ trắng và trả lại số tiền như đã yêu cầu.

Exploit là một ‘ví dụ điển hình về một cuộc tấn công nội bộ’

Giám đốc công nghệ và đồng sáng lập Trugard, Jeremiah O’Connor, đã nói với crypto.news trong một tuyên bố rằng lỗ hổng này là một “ví dụ điển hình về một cuộc tấn công nội bộ” trong không gian Web3. Cụ thể, khi một kỹ sư duy nhất nắm giữ “quyền lực không bị kiểm soát” đối với một hợp đồng thông minh, điều này tạo ra một điểm thất bại trung tâm.

“Thay vì thu hồi quyền quản trị super admin như đã hứa, kỹ sư này đã giữ lại một lối vào bí mật, lừa dối chính đội ngũ của họ, và đã bỏ trốn với 50 triệu đô la,” O’Connor thêm vào. “Nếu các cáo buộc là đúng, động cơ của họ—che đậy thua lỗ trong cờ bạc—khiến tình huống trở nên đáng lo ngại hơn. Khi sự tuyệt vọng tài chính gặp phải quyền kiểm soát không giới hạn, kết quả gần như luôn luôn thảm khốc. Điều này lại một lần nữa là lời cảnh tỉnh về những nguy hiểm của quyền lực tập trung trong DeFi.”

Ông nói rằng an ninh trong DeFi phải dựa vào nhiều hơn chỉ là niềm tin. Nếu Infini có các biện pháp bảo vệ phi tập trung như ví đa chữ ký, tính minh bạch trên chuỗi, hoặc thời gian khóa cho các thay đổi của quản trị, thì một cuộc tấn công sẽ không có khả năng xảy ra. Do đó, bất kỳ dự án nào phân bổ “quyền kiểm soát tuyệt đối” cho một cá nhân đều “đang tự gây rắc rối.”

Trong Web3, an ninh không phải là về niềm tin; mà là về các biện pháp bảo vệ có thể xác minh và được thực thi trước khi mọi thứ trở nên xấu đi,” O’Connor kết luận.