Infini vole 50 millions USD : un employé interne soupçonné, un ingénieur contractuel fait exploser sa position en multipliant par 100 sa mise sur une cryptomonnaie
TechFlow SélectionTechFlow Sélection
Infini vole 50 millions USD : un employé interne soupçonné, un ingénieur contractuel fait exploser sa position en multipliant par 100 sa mise sur une cryptomonnaie
Tout le monde a été surpris lorsque toutes les preuves pointaient vers une personne en qui tout le monde avait autrefois eu grande confiance au sein de l'équipe.
Dédié à des analyses Web3 approfondiesRédaction : Mao Di, Wu Shuo Blockchain
Contexte
Le 24 février, le projet de carte bancaire Web3 et de gestion patrimoniale Infini a été piraté, entraînant un transfert frauduleux de fonds d'une valeur de 49,5 millions de dollars provenant du vault Morpho MEVCapital Usual USDC. Le fondateur d'Infini, Christian, a déclaré à l'époque : « Parmi les 50 millions de dollars volés, 70 % appartiennent à des amis importants que je connais personnellement. J'ai déjà communiqué individuellement avec chacun d'eux et assumerai personnellement les pertes éventuelles. Les fonds restants seront réinvestis dans le vault Infini avant lundi prochain, et tout reprendra comme auparavant. » Il a également affirmé qu'il était prêt à verser au pirate une rançon équivalente à 20 % du montant détourné, s'engageant à ne pas engager d'action en justice si les fonds étaient restitués.
À 20 heures le 24 février, l'équipe Infini a envoyé un message on-chain à l'adresse du pirate Infini Exploiter 2 : 0xfc…6e49 :
Nous vous informons par la présente que nous avons obtenu des informations clés concernant votre attaque contre Infini, notamment l'adresse IP et les données relatives à votre appareil. Ce résultat a été rendu possible grâce au soutien décisif de grandes bourses, d'agences de sécurité, de partenaires ainsi que de notre communauté. Nous surveillons étroitement l'adresse concernée et sommes prêts à geler immédiatement les fonds volés à tout moment. Afin de résoudre pacifiquement cette affaire, nous sommes disposés à vous offrir 20 % des actifs volés en échange de la restitution complète des fonds. Dès réception des fonds restitués, nous cesserons toute poursuite ou analyse supplémentaire, et vous ne subirez aucune conséquence. Nous vous invitons instamment à agir dans les 48 heures suivant ce message afin de parvenir rapidement à une solution. À défaut de réponse dans ce délai, nous n'aurons d'autre choix que de collaborer pleinement avec les autorités locales pour approfondir l'enquête. Nous espérons sincèrement parvenir à une solution bénéfique pour toutes les parties.
Le 26 février, l'équipe Infini a renvoyé un nouveau message on-chain :
Plus de 48 heures se sont écoulées depuis l'attaque. Nous vous offrons ici une dernière opportunité de restituer les fonds volés. Si vous choisissez de les restituer, nous mettrons immédiatement fin à toute surveillance et analyse, et vous ne subirez aucune conséquence. Veuillez transférer 14 156 ETH (soit 80 % des fonds volés) vers notre portefeuille de garde Cobo :
Adresse du portefeuille : 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8
Le 27 février, Christian a annoncé que l'affaire du piratage d'Infini avait officiellement été classée comme affaire pénale à Hong Kong.
Côté finances, l'adresse du pirate 0x3a…5Ed0 a converti le 24 février 49,52 millions d'USDC via Sky (MakerDAO) en un montant équivalent de DAI, puis a divisé ces DAI en plusieurs transactions sur Uniswap pour les échanger contre environ 17 700 ETH, transférés vers une nouvelle adresse : 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49. Depuis, ces fonds n'ont fait l'objet d'aucun nouveau transfert (indiquant probablement que les autorités ont pris le contrôle dès les premières heures). Toutefois, en raison de la baisse récente du prix de l'ETH, leur valeur s'élève désormais à seulement 35,15 millions de dollars.
https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49
Contenu de la procédure judiciaire
À 18 heures le 20 mars, l'équipe Infini a envoyé un nouveau message on-chain à l'adresse Infini Exploiter 2 : 0xfc…6e49, lançant un avertissement selon lequel les 50 millions de dollars perdus lors de l'attaque font actuellement l'objet d'un litige juridique continu et sont contestés, et que tout détenteur ultérieur (le cas échéant) des actifs cryptographiques ayant transité par ledit portefeuille ne peut revendiquer le statut d'acheteur de bonne foi.
Le message incluait également, sous forme de lien, les documents judiciaires officiels dont voici le contenu détaillé :
Le demandeur est Chou Christian-Long, PDG de BP SG Investment Holding Limited, société enregistrée à Hong Kong et filiale intégrale d'Infini Labs. Le premier mis en cause est Chen Shanxuan, basé à Foshan, province du Guangdong, travaillant à distance. Les deuxième à quatrième mis en cause n'ont pas encore pu être identifiés avec certitude.
Le demandeur et BP Singapore ont conjointement développé un contrat intelligent destiné à gérer les fonds de l'entreprise et de ses clients, dont la rédaction a été supervisée par le premier mis en cause. Ce contrat prévoyait initialement un système de signature multi-signature (multi-sig), conçu pour strictement contrôler tout transfert de fonds.
Au moment du déploiement du contrat sur le réseau principal (mainnet), le premier mis en cause aurait conservé le droit de super administrateur (super admin), tout en affirmant faussement aux autres membres de l'équipe avoir transféré ou supprimé ce privilège.
Dans la dernière semaine de février 2025, le demandeur a découvert qu'environ 49 516 662,977 USDC avaient été transférés sans autorisation multi-sig vers plusieurs adresses inconnues (portefeuilles contrôlés par les deuxième à quatrième mis en cause).
Redoutant que les mis en cause ou d'autres personnes non identifiées ne continuent à transférer ou à blanchir les actifs, le demandeur a saisi le tribunal pour obtenir :
-
Une injonction restrictive ("interlocutory injunction") visant à bloquer les biens du premier mis en cause et des personnes inconnues afin d'empêcher tout transfert ou disposition des actifs volés ;
-
L'obligation pour le mis en cause ou toute personne contrôlant effectivement les portefeuilles de révéler son identité ;
-
Des ordonnances impératives adressées au premier mis en cause et aux détenteurs inconnus des portefeuilles interdisant toute disposition des actifs ;
-
La divulgation des informations relatives aux transactions et aux actifs ;
-
L'autorisation de signification extra-territoriale (c'est-à-dire notification des documents juridiques à des mis en cause situés hors du territoire) ainsi que des modes alternatifs de notification.
Dans le corps d'une déclaration sous serment, le demandeur indique : « Ce n'est récemment que j'ai appris que le premier mis en cause avait de graves problèmes de jeu, pouvant expliquer des dettes importantes. Je crois fermement que cette situation l'a poussé à dérober les actifs en cause afin d'alléger sa dette. » Le demandeur a joint des captures d'échanges de messages afin de prouver que le mis en cause pourrait être accablé par des dettes colossales. (Le demandeur affirme que le mis en cause est allé trop loin, jouant quotidiennement avec des contrats à effet de levier de 100 fois.)
Selon la déclaration sous serment, le premier mis en cause aurait emprunté d'importantes sommes par divers canaux en peu de temps, ayant même eu recours à des prêteurs clandestins ou "loan sharks", ce qui l'exposerait à des taux d'intérêt exorbitants et à des pressions constantes de recouvrement. L'élément probant CCL-17 mentionne qu'il a demandé de l'aide dans des discussions, affirmant devoir payer les intérêts à plusieurs créanciers, et posant régulièrement la question de savoir s'il pouvait emprunter davantage pour traverser la crise, ou demandant à d'autres de lui présenter de nouvelles sources de financement.
Peu avant les faits, le premier mis en cause aurait laissé entendre dans des groupes de travail ou lors d'échanges privés avec des collègues ou amis que sa situation financière était extrêmement tendue, allant jusqu'à exprimer anxieusement qu'il risquait « d'avoir des ennuis » s'il ne trouvait pas rapidement de l'argent. Ces propos coïncident presque exactement avec le moment où les actifs cryptographiques de l'entreprise ont été transférés sans autorisation, renforçant ainsi la conviction du demandeur quant au mobile du mis en cause : un acte désespéré motivé par une pression financière extrême.
Selon les déclarations du demandeur, chaque fois qu'on l'interrogeait sur ses finances personnelles ou ses habitudes de jeu, le premier mis en cause éludait systématiquement les questions ou répondait de manière vague, restant flou sur le montant réel de ses dettes ou sur le fait qu'il continuait à jouer. La déclaration souligne que, de fin octobre jusqu'au moment des faits, il a toujours affirmé oralement qu'il n'y avait « aucun problème majeur », alors que ses conversations privées sur des applications de messagerie contredisent clairement cette affirmation.
Le demandeur craint que, poussé par l'urgence de rembourser ses dettes liées au jeu ou par l'espoir de se refaire, le premier mis en cause ne transfère rapidement les actifs numériques volés vers d'autres portefeuilles, voire ne les monnaye hors ligne, rendant ainsi leur traçabilité encore plus difficile. C'est pourquoi il a saisi urgemment le tribunal pour obtenir une ordonnance de gel mondial des actifs et exiger la divulgation et la restitution des actifs cryptographiques impliqués par le premier mis en cause et les autres détenteurs inconnus des portefeuilles.
Bane, associé chez Kronos Research, a indiqué que l'équipe détenait de nombreux autres éléments troublants relatifs à la vie personnelle du suspect, mais qu'ils n'avaient pas été inclus dans les documents judiciaires car peu directement liés à l'affaire. L'objectif principal reste la récupération des fonds. « Quand toutes les preuves convergent vers une personne autrefois hautement fiable au sein de l'équipe, tout le monde a été stupéfait. Mais les mobiles ne suffisent pas : tout repose sur les faits. Nous croyons que la justice apportera une conclusion juste. Jusqu'au verdict final, il reste présumé innocent. »
Bane ajoute : « Notre équipe pensait que les droits de super administrateur avaient bien été transférés au portefeuille multi-sig. Or, il utilisait la bibliothèque de permissions OpenZeppelin, qui fonctionne selon un modèle “plusieurs à plusieurs”. Par conséquent, le portefeuille initial du développeur (dev wallet) n'a jamais cessé d'avoir des droits. Normalement, lors du déploiement, on utilise une adresse EOA, puis on transfère les droits au multi-sig. Son portefeuille de développeur, après la création du contrat, possédait par défaut le droit de super admin[0] selon la configuration initiale d'OpenZeppelin. Il a ensuite transféré ce droit au multi-sig et affirmé dans les discussions avoir abandonné son adresse EOA. En réalité, la transaction de révocation n’a jamais été envoyée. Plus tard, il a prétendu croire que le système de gestion des droits était “un à un”, affirmant ainsi que le simple transfert des droits au multi-sig annulait automatiquement ceux de l’EOA. En raison de la confiance mutuelle, personne n’a vérifié une deuxième fois l’état du contrat, ce qui a conduit à cette tragédie. »
Après les faits, le mis en cause aurait déclaré : « C’est ma faute, j’ai oublié de révoquer les droits. Une erreur très, très basique. »
L'affaire n'a pas encore été jugée. Les documents déposés contiennent de nombreuses pièces jointes, notamment des historiques de discussion du premier mis en cause. Les lecteurs intéressés peuvent télécharger le dossier complet à l'adresse suivante :
Lien : https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ
Mot de passe : D1234@5##
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
吴说区块链
