Infiniが5000万ドル盗難:内部職員の関与か、コントラクトエンジニアが100倍レバレッジで仮想通貨取引を強制決済
TechFlow厳選深潮セレクト
Infiniが5000万ドル盗難:内部職員の関与か、コントラクトエンジニアが100倍レバレッジで仮想通貨取引を強制決済
すべての証拠が、かつてチーム全員が非常に信頼していた人物を指し示したとき、誰もが驚いた。
Web3業界の深掘り報道に専念し潮流を洞察執筆:猫弟、吴说区块链
背景
2月24日、Web3クレジットカードおよび資産運用プロジェクト「Infini」がハッキングされ、Morpho MEV Capital Usual USDC Vaultから約4950万ドルの資金が流出した。Infiniの創業者Christianは当時、「盗まれた5000万ドルのうち70%は身内や知人の大口投資家に属しており、すでに全員と個別に連絡を取り、個人的に損失を補填する意向である。残りの資金については来週月曜日までに再びInfiniのベーシルに戻す予定であり、事業はこれまで通り継続する」と述べた。また、ハッカーに対して盗難額の20%を身代金として支払う用意があるとし、資金が返還された場合には法的措置を取らないと約束した。
2月24日20時、Infini TeamはInfini Exploiter 2: 0xfc…6e49宛にブロックチェーン上メッセージを送信した:
本件を通じて、貴方がInfiniに対して攻撃を行った際の重要なIPアドレスおよびデバイス情報の取得に成功しました。これはトップレベルの取引所、セキュリティ機関、パートナー企業およびコミュニティの強力な支援によるものです。現在、関連アドレスを密接に監視しており、盗難資金を即時凍結する準備を整えています。平和的な解決を目指して、貴方が資金を返還する場合、盗難資産の20%を報酬として提供いたします。資金の返還を受けた時点で、追跡および分析をすべて停止し、貴方はいかなる責任も問われません。解決に向けて次の48時間以内に行動をとっていただくことを強く要請いたします。期限内にご応答がない場合は、地元の法執行機関と協力して調査をさらに進めざるを得なくなります。すべての関係者にとって最善の解決策を達成できるよう、真剣に願っています。
2月26日、Infini Teamは再度同アドレスにメッセージを送信した:
攻撃発生からすでに48時間を超えました。ここに最後の機会として、盗難資金の返還を求めます。資金を返還する選択をすれば、直ちにすべての追跡および分析を中止し、貴方はいかなる結果も被ることはありません。盗難資金の80%にあたる14156ETHを以下のCoboマネージドウォレットへ送付してください:
ウォレットアドレス: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8
2月27日、ChristianはInfiniのハッキング事件について香港で正式に訴訟が提起されたと発表した。
資金の動きに関して、ハッカーのアドレス0x3a…5Ed0は24日にSky(MakerDAO)を通じて4952万USDCを同等額のDAIに交換し、その後Uniswapで複数回に分けてDAIを約1.77万ETHに交換し、新規アドレス0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49へ送金した。以降、この資金はさらなる移動が確認されていない(おそらく直ちに法執行機関によって管理下に置かれたとみられる)。ただし、最近のETH価格下落により、これらのETHの現在価値は約3515万ドルとなっている。
https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49
訴訟内容
3月20日18時、Infini TeamはInfini Exploiter 2: 0xfc…6e49宛に再度ブロックチェーン上メッセージを送信し、警告を発した。それによると、Infiniが被害を受けた5000万ドル相当の資産は現在、継続中の法的紛争の対象となっており、争議性があるため、該当ウォレットに存在していた暗号資産のその後の保有者は「善意の第三者」としての主張を行えないとしている。
また、メッセージにはリンク形式で裁判所への訴状ファイルが添付されており、その内容は以下の通りである:
原告はInfini Labs傘下の香港法人BP SG Investment Holding LimitedのCEOであるChou Christian-Long。第一被告は広東省仏山市在住でリモート勤務していたChen Shanxuan。第二から第四被告については現時点では身元が特定できていない。
原告およびBP Singaporeは共同で、企業および顧客資金を管理するためのスマートコントラクトを開発した。このコントラクトの開発は第一被告が主導しており、本来はマルチシグネチャ(multi-signature)権限によって資金の送金を厳密に制御する仕組みになっていた。
しかし、メインネットへの展開時に、第一被告はsuper adminの最高権限を保持したまま、他のチームメンバーには既に権限を移管または削除済みであると虚偽に説明したとされる。
2025年2月下旬、原告は約49,516,662.977USDC相当の暗号資産がマルチシグの承認を経ずに、いくつかの未知のウォレットアドレス(第二~第四被告が管理するアドレス)へ不正に送金されたことを発見した。
被告または不明人物が資産をさらに転送または洗浄する可能性があることから、原告は裁判所に対し以下を申請した:
-
第一被告および関連する不明人物の財産に対し、「差止命令(injunction)」を出し、盗難資産の譲渡または処分を禁止すること;
-
被告または実質的なウォレット管理者が自らの身元を開示すること;
-
第一被告およびその他の未知のウォレット保有者に対して、資産処分を禁止する強制命令を発令すること;
-
相手方に取引履歴および資産情報を開示させること;
-
原告が「域外送達」(海外の被告に対する法的文書の送達)および代替手段での送達を行うことを許可すること。
ある宣誓供述書の本文において、原告は次のように述べている。「最近になって初めて、第一被告には深刻なギャンブル依存があり、巨額の債務を抱えていることを知った。これが彼が関連資産を窃取し、自身の債務を緩和するために使ったと考えられる理由だ。」また、原告は第一被告が後になって常習化し、日常的に100倍レバレッジで先物取引を行っていた可能性を指摘している。これに関するやり取りのスクリーンショットも証拠として提出されている。
宣誓供述書によれば、第一被告は短期間に複数のルートから資金を借り入れており、地下金融(いわゆるロウ・シャーク)とも接触していた疑いがあり、高利の返済圧力や取り立て電話に苦しんでいたという。Exhibit CCL-17では、彼がチャットの中で他人に助けを求め、「複数の業者の利息を抱えている」と語り、さらに借入の余地があるか尋ねたり、新たな資金源を紹介してほしいと頼んでいる様子が記録されている。
事件発生直前、第一被告は業務グループや同僚・友人との個人的な会話の中で、財政状況が非常に逼迫していること、そしてもうお金が調達できなければ「まずいことになる」という不安を漏らしていた。これらの発言は、その後の暗号資産の無許可送金と時期的にほぼ一致しており、原告側が第一被告の動機として「巨額の債務負担による背水の陣」であったと判断する根拠となっている。
原告の主張によれば、第一被告は個人の財務状況やギャンブルに関する問いかけに対し、繰り返し回避したり漠然とした回答しかしなかった。自分がどれだけの負債を抱えているのか、今もギャンブルをしているのかといった点については曖昧なままだった。宣誓供述書では、10月下旬から事件発生までは「大きな問題はない」と繰り返していたが、一方でチャットアプリ内での他者との会話内容とは明らかに矛盾していたことが指摘されている。
原告は、第一被告がギャンブル債務の返済を急いだり、賭けの元手を増やそうとする場合、盗んだデジタル資産をさらに迅速に他のウォレットへ移動させたり、OTCで現金化する可能性があることを危惧している。そのため、世界規模での資産凍結命令を緊急で申請し、第一被告およびその他の未知のウォレット保有者に対し、関連する暗号資産の開示および返還を求めている。
Kronos ResearchのパートナーBane氏は、「チームには裁判資料に掲載していないが、もっと極端な生活面の証拠材料もまだ多くある。ただ、それらは事件と直接の関連性が薄いため、今回は提示を見送った。我々は依然として資金回収そのものに集中している。すべての証拠がかつてチーム内で誰もが信頼していた人物を指し示していることに、誰もが驚いている。しかし動機はあくまで動機であり、すべては事実に基づいて判断される。法律が公正な結果をもたらすと信じている。判決が下るまでは、彼は依然として容疑者にすぎない」と述べた。
Bane氏はまた、「チームは当初、スーパーパーミッションがマルチシグに移管されたものと信じていた。だが彼が使用していたのはOpenZeppelinの権限ライブラリであり、これは本来『多数対多数』の構造なので、初期開発者(dev)ウォレットの権限は自動的には放棄されない。通常、デプロイ時はEOAを使用し、デプロイ後に権限をマルチシグに移管する。彼が管理するdevウォレットは、OpenZeppelinの権限ライブラリの初期設定により、コントラクト作成後もデフォルトでsuper admin[0]の権限を持っていた。彼はその後、このsuper admin権限をマルチシグに移管したと称し、チャットで『EOAの権限は放棄した』と虚偽に報告したが、実際にrevoke(権限剥奪)のトランザクションは一度も送信されていなかった。さらに彼は、権限管理は『一対一』だと誤解していたと弁明したが、つまり『権限をマルチシグに与えれば、devウォレットの権限は自動で消える』と思い込んでいたということだ。信頼関係のもと、誰もコントラクトの状態を二度と確認しなかったため、悲劇が起きたのだ」と説明している。
事件後、被告は「私のミスです。権限のrevokeを忘れました。非常に初歩的な間違いでした」と述べていた。
現在、本件はまだ判決が出ておらず、提出された訴状には第一被告の大量のチャット記録が添付されている。興味のある読者は以下のリンクからオリジナルファイルをダウンロード可能である:
Link:https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ
パスワード: D1234@5##
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
吴说区块链
