Infini, 5000만 달러 도난당해: 내부 직원 소행 의심, 계약 엔지니어가 암호화폐를 100배 레버리지로 거래하다 폭락
글: 고弟, 오설 블록체인
배경
2월 24일, Web3 신용카드 및 금융관리 프로젝트 Infini가 해킹당해 Morpho MEV Capital Usual USDC Vault에서 약 4950만 달러 상당의 자금이 유출되었다. Infini 창립자 크리스티안은 당시 "도난당한 5000만 달러 중 70%는 주변 지인인 대규모 투자자들의 자산이며, 이미 개별적으로 소통을 마쳤고 개인적으로 손실을 부담할 것"이라 밝히며, 나머지 자금은 다음 주 월요일 이전에 다시 Infini vault에 재투입되어 정상 운영될 예정이라고 전했다. 또한 해커에게 도난 금액의 20%를 몸값으로 지급할 의사가 있으며, 자금이 반환될 경우 법적 조치를 취하지 않겠다고 약속했다.
2월 24일 오후 8시, Infini 팀은 Infini Exploiter 2: 0xfc…6e49 주소로 체인 상 메시지를 발송했다:
귀하가 Infini를 공격한 사건과 관련된 핵심 IP 및 장치 정보를 확보하였음을 알려드립니다. 이는 최정상 거래소, 보안 기관, 협력사 및 커뮤니티의 강력한 지원 덕분입니다. 현재 해당 주소를 면밀히 모니터링하고 있으며, 도난 자금을 즉각 동결할 준비를 마쳤습니다. 평화적인 해결을 위해 귀하가 자금을 반환할 경우 도난 자산의 20%를 보상으로 제공할 의향이 있습니다. 자금 반환 시 추가 추적 또는 분석을 즉시 중단하며, 귀하는 어떠한 책임도 지지 않게 됩니다. 이를 위해 향후 48시간 내 조치를 취해주시기를 간곡히 요청합니다. 기한 내 응답이 없을 경우, 현지 법 집행 기관과의 협력을 통해 본 사건을 심층 조사할 수밖에 없습니다. 모든 당사자에게 가장 유리한 해결책을 찾기를 진심으로 희망합니다.
2월 26일, Infini 팀은 다시 한 번 체인 상 메시지를 발송했다:
공격 발생 후 48시간 이상이 지났으며, 귀하에게 도난 자금을 반환할 마지막 기회를 제공합니다. 귀하가 자금을 반환하기로 결정할 경우, 즉시 모든 추적과 분석을 중단하며 어떠한 결과도 초래되지 않습니다. 도난 자금의 80%에 해당하는 14,156 ETH를 당사의 Cobo 운용 지갑으로 송금해 주십시오:
지갑 주소: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8
2월 27일, 크리스티안은 Infini 해킹 사건이 홍콩에서 공식적으로 입건되었음을 발표했다.
자금 흐름 측면에서, 해커 주소 0x3a…5Ed0는 24일 4952만 USDC를 Sky(MakerDAO)를 통해 동일한 금액의 DAI로 교환한 후, Uniswap에서 여러 차례 나누어 약 1.77만 ETH로 전환하여 새 주소 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49로 송금하였다. 이후 해당 자금은 추가 이동되지 않았으며(수사 당국이 즉시 통제했을 가능성 있음), 최근 ETH 가격 하락으로 인해 현재 가치는 약 3515만 달러 수준이다.
https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49
소송 내용
3월 20일 오후 6시, Infini 팀은 Infini Exploiter 2: 0xfc…6e49 주소로 체인 상 메시지를 보내 경고를 발신했다. 이전 Infini 공격으로 인한 약 5000만 달러의 손실이 현재 법적 분쟁 상태에 있으며, 해당 자금에는 권한 논란이 존재하므로, 위 지갑에 있었던 암호화 자산의 이후 소유자는 '선의의 구매자'라고 주장할 수 없다고 명시했다.
또한 링크를 통해 법원 소송 서류를 함께 첨부했는데, 그 주요 내용은 다음과 같다:
원고는 Infini Labs 산하 홍콩 등록 법인 BP SG Investment Holding Limited의 CEO 주크리스티안롱(Chou Christian-Long)이며, 제1피고는 광둥성 포산에서 원격 근무하는 천션쉬안(Chen Shanxuan), 제2~제4피고는 아직 실명 확인이 되지 않은 자들이다.
원고와 BP Singapore는 공동으로 회사 및 고객 자금을 관리하는 스마트 계약을 개발하였으며, 이 계약은 제1피고가 주도하여 작성했다. 해당 계약은 원래 다중서명(multi-signature) 권한을 설정하여 자금 출금을 엄격히 통제하도록 설계되었다.
계약이 메인넷에 배포될 당시, 제1피고는 super admin 최고 권한을 스스로 유지하면서 다른 팀원들에게는 해당 권한을 이전하거나 삭제했다고 거짓말한 것으로 알려졌다.
2025년 2월 하순, 원고는 약 49,516,662.977 USDC 상당의 암호화 자산이 다중서명 승인 절차를 거치지 않고 여러 미상의 지갑 주소(제2~제4피고가 통제하는 지갑)로 송금된 사실을 발견했다.
피고나 신원 불명자가 자산을 추가로 이동하거나 세탁할 가능성을 우려한 원고는 법원에 다음 사항을 신청했다:
-
제1피고 및 관련 미상인물의 자산에 대해 '금지 명령(injunction)'을 내려 도난 자산의 이전 또는 처분을 제한할 것;
-
피고 또는 실제 지갑을 통제하는 자가 자신의 신원을 공개할 것;
-
제1피고 및 기타 미확인 지갑 소유자에게 자산 처분을 금지하는 강제 명령을 발부할 것;
-
거래 및 자산 정보를 공개하도록 요구할 것;
-
원고가 '역외 송달' (즉, 해외 피고에게 법적 문서를 전달) 및 대체 방법으로 송달할 수 있도록 허용할 것.
소송 서류 중 하나인 선서문에는 원고가 "최근에야 제1피고가 심각한 도박 습관을 갖고 있어 거액의 채무를 안고 있다는 사실을 알게 되었다"고 밝혔다. 원고는 이것이 그가 자산을 절도해 자신의 빚을 갚기 위한 동기라고 믿고 있다. (원고는 피고가 이후 도박에 완전히 빠져 일상적으로 100배 레버리지를 이용해 선물 거래를 했다고 지적함)
선서문에 따르면, 제1피고는 비교적 짧은 기간 내 다양한 경로를 통해 자금을 차입했으며, 지하 사채업자 혹은 이른바 Loan shark와 접촉했을 가능성도 있다. 이로 인해 고이율 이자와 독촉 전화의 압박을 받고 있었다. Exhibit CCL-17에서는 그가 채팅에서 타인에게 도움을 요청하며 여러 곳의 이자를 갚아야 한다고 언급하고, 계속해서 돈을 더 빌릴 수 있는지 묻거나 새로운 자금 출처를 소개해 달라고 요구하는 내용이 포함되어 있다.
사건 발생 직전, 제1피고는 업무 그룹이나 동료/친구와의 사적인 대화에서 자신의 재정 상태가 매우 어려운 상황임을 내비쳤으며, 만약 돈을 더 마련하지 못하면 문제가 생길 것이라는 불안감을 표현하기도 했다. 이러한 발언들은 이후 회사의 암호화 자산이 무단으로 이전된 시점과 거의 일치하며, 이는 원고 측이 제1피고의 범행 동기에 대한 판단을 더욱 굳히는 요소가 되었다 — 즉, 거액의 채무 압박으로 인해 위험을 무릅쓰고 행동했을 가능성이다.
원고에 따르면, 제1피고는 개인 재정 문제나 도박 여부를 묻는 질문에 대해 반복적으로 회피하거나 막연한 답변만을 했으며, 자신이 얼마나 빚을 지고 있는지, 여전히 도박을 하고 있는지 등에 대해 모호한 태도를 보였다. 선서문은 제1피고가 10월 말부터 사건 발생 전까지 "큰 문제 없다"고 계속 주장했지만, 실제로는 채팅 앱을 통해 다른 사람들과 나눈 대화 내용이 이와 정반대였다고 지적한다.
원고는 제1피고가 도박 빚을 갚기 위해 급하게 행동하거나, 다시 판돈을 올리려 할 경우, 도난한 디지털 자산을 다른 지갑으로 신속히 이전하거나 장외에서 현금화할 가능성이 있어 추적이 더욱 어려워질 것을 우려하고 있다. 따라서 법원에 긴급히 전 세계적인 자산 동결 명령을 신청하고, 제1피고 및 기타 미확인 지갑 소유자에게 관련 암호화 자산의 공개 및 반환을 요구한 것이다.
Kronos Research 파트너 Bane은 "팀은 법원 서류에 제출하지 않은 더 황당한 개인 생활 관련 자료도 많이 가지고 있지만, 사건과 직접적인 연관성은 낮아 자금 회수가 우선"이라며, "모두가 매우 신뢰했던 팀원을 향해 모든 증거가 가리키고 있을 때 모두 놀랐다. 하지만 동기는 동기일 뿐, 모든 것은 사실을 기반으로 하며, 법이 공정한 결과를 가져올 것이라 믿는다. 법원의 최종 판결이 있기 전까지 그는 여전히 용의자일 뿐"이라고 말했다.
Bane은 또 "팀은 늘 super admin 권한이 다중서명(multisig)으로 이전된 줄 알았다. 그러나 그는 openzeppelin의 권한 라이브러리를 사용했고, 이는 기본적으로 다수 대 다수 구조이기 때문에 초기 개발자(dev) 지갑의 권한은 자동으로 사라지지 않는다. 일반적으로 배포 시 EOA를 사용하고, 배포 후 권한을 multisig로 이전한다. 그가 통제하는 dev 지갑은 계약 생성 후 openzeppelin 권한 라이브러리의 초기 설정에 따라 기본적으로 super admin[0] 권한을 보유했으며, 이후 이 super admin 권한을 multisig로 이전하고 채팅 기록에서 이미 EOA 권한을 포기했다고 거짓말했다. 하지만 실제로는 revoke(권한 회수) 트랜잭션이 전혀 전송되지 않았다. 이후 그는 권한 관리가 일대일 구조라 생각했다며, multisig에 권한을 넘기면 dev 지갑의 권한이 자동으로 사라진다고 주장했다. 신뢰 관계 하에 아무도 계약 상태를 다시 점검하지 않아 비극이 발생했다"고 설명했다.
피고는 사건 후 "내 실수, 권한 revoke를 잊어버렸다. 매우 매우 초보적인 실수"라고 말했다.
현재 사건은 아직 판결되지 않았으며, 제출된 소송 서류에는 제1피고의 대량 채팅 기록이 첨부되어 있다. 관심 있는 독자는 아래 원본 파일을 다운로드할 수 있다:
Link: https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ
비밀번호: D1234@5##
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
吴说区块链
