Infini Labs 5000万美元盗窃案被安全专家称为‘教科书式的内部攻击’

Infini Labs，一家专注于加密货币的数字银行，已对一名工程师提起诉讼，指控其从平台挪用近5000万美金。

这家稳定币数字银行指控陈山轩在加密平台的智能合约上线主网时保留了“超级管理员”权限。因此，这名工程师从公司盗取了大约4950万美元的USDC (USDC)。

Infini Labs通过其子公司BP SG Investment Holding Limited在香港提起了诉讼。指控称，作为首席开发者，陈秘密保留了‘超级管理员’访问权限，并利用这一特权从公司挪用数百万美元的加密货币。

有趣的是，这起诉讼将陈描绘成一个负债累累和巨额赌博的人。

该案件涉及加密货币信用卡提供商遭受的一次漏洞攻击，导致4950万美元被从其资金中抽走。对损失的初步反应是这是一场黑客所为。

然而，这起诉讼使陈处于困境，提交给法院的文件要求冻结被告的资产。Infini Labs 还请求法院强制其前首席智能合约工程师披露更多交易细节。

在 Infini 在 2 月份遭受的加密货币抢劫中，资金在没有多重签名授权的情况下消失了。陈利用他的完全访问权限进行偷窃，该公司在诉讼中指出。

对陈的诉讼发生在Infini创始人Christian Li要求“黑客”接受公司白帽协议的几天后。Li在链上的消息还强调了公司向涉嫌攻击者提供的20%的赏金。

李还重申，如果黑客遵守白帽子的提议并按要求归还资金，Infini Labs将不会采取任何法律行动。

利用是‘教科书式的内部攻击’

Trugard 的首席技术官兼联合创始人 Jeremiah O’Connor 在向 crypto.news 的声明中表示，该漏洞是 Web3 领域内“内部攻击的教科书例子”。具体来说，当一个工程师对智能合约拥有“无监督的权力”时，就会造成一个中心故障点。

“这位工程师并没有按照承诺撤销他们的超级管理员权限，而是保留了一个秘密后门，欺骗了自己的团队，并盗走了5000万美元，”O’Connor补充道。“如果指控属实，他们的动机——掩盖赌博损失——使得情况更加令人担忧。当财务绝望与无限制的控制相遇时，结果几乎总是灾难性的。这再次提醒我们注意DeFi中集中权力的危险。”

他说，DeFi的安全性必须不仅仅依赖于信任。如果 Infini 有去中心化的保护措施，如多重签名钱包、链上透明度或管理员更改的时间锁，那么漏洞利用的可能性就不大。因此，任何将“绝对控制权”分配给一个人的项目都是“自找麻烦”。

在Web3中，安全不是关于信任；而是关于在事情变坏之前可验证的、强制性的保护，”O’Connor总结道。