Un vol de 50 millions de dollars orchestré par un « traître » ? Gagnant un million par an, mais obsédé par les contrats
TechFlow SélectionTechFlow Sélection
Un vol de 50 millions de dollars orchestré par un « traître » ? Gagnant un million par an, mais obsédé par les contrats
Il était ingénieur technique dans une bourse, gagnant plus d'un million par an, mais il s'est laissé prendre au jeu des contrats à effet de levier x100 et a tout perdu.
Dédié à des analyses Web3 approfondiesRédaction : 1912212.eth, Foresight News
Le 20 mars, la plateforme de données blockchain Etherscan a révélé qu'une équipe de la banque numérique de stablecoins Infini avait envoyé un avis juridique à une adresse pirate (0xfc…6e49) via un message sur chaîne, accompagné de documents détaillés relatifs à une procédure judiciaire. Cette affaire implique le vol d'actifs s'élevant à 49,51 millions d'USDC, attirant une attention considérable dans l'industrie.
Le demandeur est Chou Christian-Long, PDG de BP SG Investment Holding Limited, filiale intégrale d'Infini Labs. Le premier défendeur est Chen Shanxuan (nom chinois : 陈善轩), un ingénieur résidant à Foshan, province du Guangdong en Chine. L'identité des deuxième à quatrième défendeurs n'a pas encore été confirmée.
Infini a été piraté fin février ; seulement un mois plus tard, les suspects seraient déjà formellement identifiés ? Quelle est la vérité derrière cette affaire ?
Conservation illégale des droits d’administrateur et perte massive de fonds
Selon les documents judiciaires, Infini est une banque numérique combinant services financiers traditionnels et monnaies numériques, dont l’activité principale comprend des solutions de paiement basées sur le stablecoin USDC, des comptes à haut rendement et des cartes cryptos. Dans ces documents, le demandeur Chou Christian-Long indique qu'Infini a collaboré avec BP Singapore pour développer un contrat intelligent destiné à garantir le stockage sécurisé et le transfert des fonds clients et d'entreprise. Ce contrat a été principalement conçu par le premier défendeur Chen Shanxuan, qui a mis en œuvre un mécanisme de signature multiple (multi-signature), exigeant l'approbation de plusieurs personnes autorisées pour tout transfert de fonds, renforçant ainsi la sécurité.
Cependant, après le déploiement du contrat sur le réseau principal, un retournement de situation dramatique s’est produit. Selon la plainte, Chen aurait conservé secrètement les droits de super-administrateur lors du déploiement du contrat, affirmant faussement aux autres membres de l’équipe avoir supprimé ou transféré ces droits.
Le 24 février, le demandeur a découvert que près de 49,51 millions d'USDC avaient été transférés sans autorisation depuis le pool de liquidités vers plusieurs portefeuilles inconnus, sans passer par la validation multi-signatures. Une enquête préliminaire a révélé que ces fonds ont ensuite été échangés contre du DAI, puis rapidement utilisés pour acheter 17 696 ETH, avant d'être dispersés vers plusieurs adresses, certaines provenant d'outils de confidentialité comme Tornado Cash.
Un ingénieur talentueux au salaire annuel à sept chiffres, ruiné par ses paris sur contrats à effet de levier
Les documents révèlent que le premier défendeur, Chen Shanxuan, était employé par BP Singapore, filiale d'Infini, mais travaillait principalement à distance depuis Foshan, dans la province chinoise du Guangdong. En tant que développeur principal du contrat intelligent, il détenait des droits centraux dans le projet. Bien qu'il ait rejoint l'entreprise récemment, on lui avait confié le rôle de super-administrateur du contrat de gestion des fonds, ce qui lui donnait un contrôle absolu. Des experts du secteur analysent que la négligence d'Infini dans la gestion des permissions a probablement été le déclencheur de cet incident.
De plus, le demandeur affirme dans son affidavit avoir récemment appris que Chen Shanxuan souffrait d'un grave problème de jeu, vraisemblablement responsable de dettes importantes. Des captures de messages sont jointes aux documents, dans lesquels Chen reconnaît avoir tout gâché, exprimant un profond désespoir face à la vie, allant jusqu’à dire : « Parfois, j’ai vraiment envie d’en finir. Vivre est trop fatigant. »
Le demandeur suppose donc que les dettes de jeu auraient été le principal motif du vol. Selon Colin Wu, Chen était auparavant présenté comme un modèle parmi les techniciens des exchanges partageant leurs connaissances. Malgré un salaire annuel d’un million, il empruntait continuellement de l’argent, prenait des positions à effet de levier x100, accumulait des crédits en ligne, et s’est finalement retrouvé piégé. Toutefois, les véritables motivations de Chen restent à approfondir par le tribunal.
Une audience prévue à Hong Kong le 27 mars
L’évolution de cette affaire pourrait toucher plusieurs dimensions. L’objectif principal du demandeur est de geler les actifs volés et de récupérer les pertes. La cour de Hong Kong a accepté l’affaire et prévoit une audience le 27 mars 2025 à 9h30, présidée par le juge Lok, afin d’examiner une ordonnance restrictive. Si Chen ou d'autres défendeurs ne comparaissent pas, la cour pourrait rendre un jugement par défaut.
La transparence de la blockchain facilite le suivi des actifs, mais si les pirates utilisent des services de mixage (comme Tornado Cash) pour blanchir les fonds, la récupération devient extrêmement difficile. Précédemment, Infini avait publié un message sur chaîne avertissant le pirate, affirmant avoir gelé une partie des fonds (environ 43 millions de dollars). Cependant, si les fonds restants sont transférés vers des adresses non régulées, les chances de récupération seront minces.
La situation personnelle de Chen attire également l’attention : il pourrait faire face à des poursuites pénales dans les systèmes juridiques de Hong Kong et de Singapour. Si ses dettes de jeu sont avérées, la police pourrait mener des investigations supplémentaires sur l’origine de ses fonds et d’éventuelles activités criminelles connexes. Certains analystes soulignent que si Chen est déjà détenu, l'affaire pourrait accélérer vers un procès.
Synthèse
L’incident d’Infini n’est pas isolé. Début 2025, plusieurs accidents de sécurité ont frappé l’industrie crypto, comme le piratage de 1,4 milliard de dollars subi par Bybit le 21 février, mettant en lumière les risques persistants malgré la croissance rapide du secteur. Depuis son lancement en 2024, Infini a attiré de nombreux utilisateurs grâce à ses services innovants de paiement en stablecoin et à ses produits à haut rendement, mais cet événement expose ses faiblesses internes en matière de gestion et de vérification technique.
Des experts en sécurité blockchain analysent que si les accusations sont fondées, l’action de Chen Shanxuan constitue une attaque interne typique. L’absence, par Infini, de mesures suffisantes de décentralisation avant le déploiement du contrat intelligent — telles que des portefeuilles multi-signatures, des dispositifs de temporisation (time lock) ou des audits tiers — serait une cause majeure de cet incident. Un professionnel du secteur commente : « Confier des droits aussi critiques à un nouvel employé distant, sans surveillance stricte, revient à mettre la responsabilité de la direction d’Infini directement en cause. »
L’affaire Infini contre Chen sonne une fois de plus l’alerte pour toute l’industrie. Alors que la technologie blockchain s’intègre de plus en plus au système financier, des questions cruciales se posent pour les fondateurs : comment gérer les permissions, mettre en place des audits et des vérifications croisées, empêcher que des "joueurs compulsifs de contrats" obtiennent des pouvoirs critiques, et consacrer davantage d’efforts à l’architecture du principe de méfiance zéro (zero trust).
Au fur et à mesure que la procédure progresse, davantage de détails émergeront, permettant peut-être de découvrir entièrement la vérité derrière le vol de Chen.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Foresight News
