年収100万円だが契約に没頭:「内部犯」が自ら5000万ドルの盗難事件を演出?
TechFlow厳選深潮セレクト
年収100万円だが契約に没頭:「内部犯」が自ら5000万ドルの盗難事件を演出?
かつて彼は取引所のテクニカルエンジニアとして年収百万を稼ぎ、100倍レバレッジのコントラクトギャンブルに没頭してすべてを台無しにした。
Web3業界の深掘り報道に専念し潮流を洞察執筆:1912212.eth、Foresight News
3月20日、ブロックチェーンデータプラットフォームEtherscanによると、ステーブルコインデジタル銀行Infiniのチームは、ハッカーのアドレス(0xfc…6e49)に対してオンチェーンメッセージを通じて訴状を送信し、詳細な裁判所文書を添付した。この事件では4951万枚のUSDCが盗まれており、業界全体の注目を集めている。
訴訟の原告はInfini Labs傘下の完全子会社BP SG Investment Holding LimitedのCEOであるChou Christian-Long。被告の一人は中国広東省仏山市在住のエンジニアChen Shanxuan(中国語名:陳善軒)、その他の被告2~4名の身元はまだ確認されていない。
Infiniが今年2月末にハッキングされたばかりで、わずか1か月足らずで容疑者が特定されたのか?真実はどこにあるのか?
管理者権限の不正保持と巨額資金の消失
訴状によれば、Infiniは暗号資産と伝統的金融サービスを融合したデジタル銀行であり、主な事業内容にはステーブルコインUSDCを使った決済ソリューション、高利回り口座、暗号資産カードサービスなどが含まれる。原告Chou Christian-Longは、InfiniがBP Singaporeと協力して開発したスマートコントラクトがあり、同社および顧客の資金を安全に保管・移動させるために使用されていたと述べている。このコントラクトは第一被告のChen Shanxuanが主導して開発され、マルチシグネチャ(multi-signature)機構が設計されていたため、資金の移動には複数の承認者による承認が必要とされ、セキュリティ強化が図られていた。
しかし、メインネットへの展開後、事態は劇的に変化する。訴状では、Chenがコントラクト展開時に「スーパーアドミニストレータ権限」を密かに保持していたとされ、チームの他のメンバーにはすでに権限を削除または移譲したと虚偽報告していたという。
2月24日、約4951万USDCが資金プールから無許可で引き出され、いくつかの不明なウォレットアドレスに送金されたことが判明した。これらのトランザクションはマルチシグによる検証を経ていない。初期調査により、これらの資金はその後DAIに交換され、急速に17,696ETHを購入。最終的に多数のアドレスに分散され、一部の資金はプライバシーツールTornado Cash由来と追跡された。
高評価のエンジニアが年収百万円でも、百倍レバレッジの先物取引に没頭して破綻
訴状によると、第一被告Chen ShanxuanはInfiniの子会社BP Singaporeに雇用されていたが、主な勤務地は中国広東省仏山市で、リモートワーク形式をとっていた。スマートコントラクトの主要開発者として、彼はプロジェクト内で中心的な権限を持っていた。ファイルでは、彼が入社期間は短かったものの、資金管理コントラクトに対するスーパーアドミニストレータ権限を与えられており、これによりコントラクトに対する絶対的な支配権を持つことになったと指摘している。業界関係者の分析では、Infiniが権限配分において甘さを見せたことが今回の事件の引き金となった可能性がある。
さらに原告の宣誓供述書では、最近になってChen Shanxuanが深刻なギャンブル依存症を抱えており、巨額の債務を負っている可能性が明らかになった。訴状にはいくつかのメッセージスクリーンショットも添付されており、Chenは他人との会話の中で「すべてを台なしにしてしまった」と告白し、「死んでしまいたい」「生きるのがつらい」といった絶望的な心境を吐露している。
原告は、こうしたギャンブル債務がChenが資産を盗んだ主な動機だと推測している。Colin Wuの話では、Chenはかつて取引所技術スタッフ間での知識共有の模範的存在だった。年収は百万以上あったにもかかわらず、常にさまざまな人から借金を重ね、100倍レバレッジの先物取引を行い、ネット融資も積み重なり、ついに取り返しのつかない道へと進んでしまったという。ただし、Chenの真の動機については、今後裁判所によるさらなる調査が待たれる。
香港裁判所、3月27日に公聴会を開催予定
本件の今後の展開は多層的になりそうだ。原告の最優先目標は、盗難資産の凍結と損失回収だ。香港裁判所はすでに事件を受理しており、2025年3月27日午前9時30分にLok判事が公聴会を主宰する予定。この場で禁制令(injunction)の審理が行われる。Chenまたはその他の被告が欠席した場合、裁判所は不在判決を下す可能性もある。
ブロックチェーンの透明性により資産追跡は比較的容易だが、ハッカーがTornado Cashなどのミキサー(混幣)サービスを利用して資金を洗浄した場合、回収は極めて困難になる。以前、Infiniはオンチェーン上でハッカーに警告し、一部の資金(約4300万ドル)はすでに凍結済みと発表していた。しかし、残りの資金が規制外のアドレスに移された場合、回収の見込みは非常に薄くなるだろう。
また、Chen本人の立場も注目されている。香港およびシンガポールの法制度下では刑事起訴の可能性がある。もし彼のギャンブル債務が事実であれば、警察はさらに資金源や他の犯罪行為に関与していないかを調査するかもしれない。ある分析では、もしこれでChenがすでに拘束されているなら、事件は早期に審理段階に移行する可能性もあると指摘している。
まとめ
Infiniの今回の盗難事件は孤立した事例ではない。2025年初頭、暗号資産業界では相次いでセキュリティ事故が発生している。例えば2月21日のBybit取引所における14億ドル相当のハッキング事件などもあり、業界の急成長の中でもなお深刻なセキュリティ課題が存在していることを示している。Infiniは2024年のローンチ以来、革新的なステーブルコイン決済サービスと高利回り商品で多くのユーザーを惹きつけてきたが、今回の出来事は内部管理体制と技術審査プロセスの脆弱性を浮き彫りにした。
ブロックチェーンセキュリティの専門家は、訴状の内容が事実であれば、Chen Shanxuanの行動は典型的な「内部攻撃」に該当すると分析している。Infiniはスマートコントラクトの本番展開前に、マルチシグウォレット、タイムロック機構、第三者監査といった十分な非中央集権化セキュリティ対策を講じていなかったことが、事件の重大な原因だと指摘する。ある業界関係者はコメントしている。「これほど重要な権限を新入社員のリモートワーカーに任せ、厳格な監督を怠ったのは、Infiniの経営陣の責任は免れない。」
Infini対Chenの訴訟は、再び業界にセキュリティ警鐘を鳴らしている。ブロックチェーン技術が金融システムにますます深く組み込まれる中で、いかに権限管理を構築し、監査とクロスチェック体制を整え、コントラクトの「狂ったプレイヤー」に重要権限を握らせないか、ゼロトラストアーキテクチャに注力できるか――これらは創業者たちが避けられない重要な課題となっている。
訴訟の進行とともに、事件のより多くの詳細が明らかになっていくだろう。そのとき、Chenの盗難背後にある真実の全貌が明らかになるかもしれない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Foresight News
