Kiếm trăm triệu mỗi năm nhưng nghiện hợp đồng: Kẻ nội gián tự dàn dựng vụ trộm 50 triệu USD?
Tuyển chọn TechFlowTuyển chọn TechFlow
Kiếm trăm triệu mỗi năm nhưng nghiện hợp đồng: Kẻ nội gián tự dàn dựng vụ trộm 50 triệu USD?
Anh từng là kỹ sư công nghệ của sàn giao dịch, kiếm được hàng triệu nhân dân tệ mỗi năm, nhưng rồi sa vào cờ bạc hợp đồng đòn bẩy 100 lần và đánh mất tất cả.
Chuyên sâu báo cáo Web3Bài viết: 1912212.eth, Foresight News
Ngày 20 tháng 3, nền tảng dữ liệu blockchain Etherscan cho thấy đội ngũ ngân hàng số ổn định Infini đã gửi thông báo kiện đến một địa chỉ hacker (0xfc...6e49) qua tin nhắn trên chuỗi, đính kèm hồ sơ kiện tụng chi tiết từ tòa án. Vụ việc liên quan đến vụ trộm tài sản trị giá tới 49,51 triệu USDC, thu hút sự chú ý lớn từ giới chuyên môn.
Nguyên đơn là Chou Christian-Long, CEO của BP SG Investment Holding Limited, công ty con toàn phần của Infini Labs. Bị đơn đầu tiên là Chen Shanxuan (tên tiếng Trung: Trần Thiện Hiên), kỹ sư cư trú tại Phật Sơn, Quảng Đông, Trung Quốc; ba bị đơn còn lại chưa xác định danh tính.
Infini bị tấn công vào cuối tháng 2 năm nay – chỉ sau một tháng đã chính thức xác định được nghi phạm? Sự thật thực sự ra sao?
Giữ quyền quản trị viên riêng và vụ mất cắp tài sản khổng lồ
Theo hồ sơ kiện, Infini là một ngân hàng số tích hợp tiền mã hóa với các dịch vụ tài chính truyền thống, hoạt động chính bao gồm cung cấp giải pháp thanh toán, tài khoản lãi suất cao và dịch vụ thẻ tiền mã hóa thông qua stablecoin USDC. Trong hồ sơ, nguyên đơn Chou Christian-Long cho biết Infini hợp tác với BP Singapore phát triển một hợp đồng thông minh nhằm đảm bảo an toàn lưu trữ và chuyển tiền cho cả công ty lẫn khách hàng. Hợp đồng này do bị đơn thứ nhất Chen Shanxuan đứng đầu viết code, thiết kế cơ chế đa ký danh (multi-signature), yêu cầu nhiều người được ủy quyền phê duyệt trước khi chuyển tiền nhằm nâng cao độ an toàn.
Tuy nhiên, mọi chuyện diễn biến theo chiều hướng bất ngờ sau khi hợp đồng được triển khai lên mainnet. Theo đơn kiện, Chen đã tự ý giữ lại quyền quản trị viên cấp cao trong quá trình triển khai hợp đồng, đồng thời nói dối các thành viên khác trong nhóm rằng quyền này đã được gỡ bỏ hoặc chuyển đi.
Ngày 24 tháng 2, nguyên đơn phát hiện khoảng 49,51 triệu USDC đã bị rút trái phép khỏi pool tài chính, dòng tiền chảy về nhiều địa chỉ ví không xác định mà không qua xác thực đa ký. Qua điều tra ban đầu, số tiền này sau đó được đổi sang DAI và nhanh chóng mua 17.696 ETH, rồi phân tán đến nhiều địa chỉ khác nhau, một phần có thể truy ngược nguồn về công cụ ẩn danh Tornado Cash.
Kỹ sư nổi tiếng, thu nhập triệu đô nhưng nghiện cờ bạc phái sinh 100x khiến mọi thứ sụp đổ
Hồ sơ tiết lộ, bị đơn đầu tiên Chen Shanxuan làm việc cho công ty con BP Singapore thuộc Infini, nhưng chủ yếu làm việc từ xa tại thành phố Phật Sơn, tỉnh Quảng Đông, Trung Quốc. Là nhà phát triển chính của hợp đồng thông minh, Chen nắm giữ quyền hạn trọng yếu trong dự án. Dù mới gia nhập công ty trong thời gian ngắn, anh ta được giao vai trò quản trị viên cấp cao đối với hợp đồng quản lý tiền, vị trí này trao cho anh ta quyền kiểm soát tuyệt đối. Các chuyên gia trong ngành nhận định, sự thiếu sót của Infini trong việc phân bổ quyền hạn có thể là nguyên nhân khởi phát sự cố.
Bên cạnh đó, nguyên đơn cũng khẳng định trong bản khai tuyên thệ rằng gần đây phát hiện Chen Shanxuan có thói quen cờ bạc nghiêm trọng, có thể vì thế mà mắc nợ lớn. Tài liệu đính kèm một số ảnh chụp tin nhắn, trong đó Chen thừa nhận đã "phá hỏng tất cả", bày tỏ tâm trạng tuyệt vọng, nói rằng thỉnh thoảng nghĩ đến cái chết, sống quá mệt mỏi.
Nguyên đơn suy đoán nợ cờ bạc có thể là động cơ chính dẫn đến vụ trộm tài sản. Theo Colin Wu, trước đây Chen từng là hình mẫu nhân viên kỹ thuật chia sẻ kiến thức trong cộng đồng sàn giao dịch. Dù thu nhập hàng triệu USD mỗi năm, anh vẫn liên tục vay mượn khắp nơi, chơi hợp đồng phái sinh đòn bẩy 100x, nợ tiêu dùng ngày càng chồng chất, cuối cùng sa chân vào con đường không lối thoát. Tuy nhiên, động cơ thực sự của Chen vẫn cần được tòa án điều tra thêm.
Tòa án Hồng Kông sẽ tổ chức phiên điều trần vào ngày 27 tháng 3
Diễn biến tiếp theo của vụ án có thể liên quan đến nhiều khía cạnh. Mục tiêu hàng đầu của nguyên đơn là đóng băng tài sản bị đánh cắp và thu hồi thiệt hại. Tòa án Hồng Kông đã tiếp nhận vụ việc và lên kế hoạch tổ chức phiên điều trần vào lúc 9 giờ 30 sáng ngày 27 tháng 3 năm 2025, do thẩm phán Lok chủ trì, xem xét lệnh cấm. Nếu Chen hoặc các bị đơn khác vắng mặt, tòa có thể ra phán quyết vắng mặt.
Khả năng minh bạch của blockchain hỗ trợ tốt cho việc truy vết tài sản, nhưng nếu hacker sử dụng dịch vụ trộn tiền (như Tornado Cash) để rửa tiền thì khả năng thu hồi sẽ giảm mạnh. Trước đó, Infini từng cảnh báo hacker qua tin nhắn trên chuỗi và cho biết đã đóng băng một phần tài sản (khoảng 43 triệu USD). Tuy nhiên, nếu phần còn lại bị chuyển tới các địa chỉ không chịu sự quản lý, hy vọng thu hồi sẽ rất mong manh.
Bên cạnh đó, tình trạng cá nhân của Chen cũng được quan tâm đặc biệt. Anh ta có thể phải đối mặt với cáo buộc hình sự trong hệ thống pháp lý Hồng Kông và Singapore. Nếu thông tin về nợ cờ bạc là đúng, cảnh sát có thể mở rộng điều tra nguồn gốc tiền và liệu có liên quan đến các hoạt động phạm tội khác hay không. Một số phân tích cho rằng nếu Chen đã bị tạm giữ, vụ án có thể nhanh chóng tiến vào giai đoạn xét xử.
Tổng kết
Sự cố mất cắp của Infini không phải trường hợp duy nhất. Vào đầu năm 2025, ngành tiền mã hóa liên tiếp xảy ra các sự cố an ninh, ví dụ như vụ hack 1,4 tỷ USD tại sàn Bybit ngày 21 tháng 2, làm nổi bật những rủi ro an toàn tồn tại dù ngành đang phát triển nhanh chóng. Kể từ khi ra mắt năm 2024, Infini thu hút lượng lớn người dùng nhờ dịch vụ thanh toán bằng stablecoin sáng tạo và sản phẩm lãi suất cao, nhưng sự việc này đã phơi bày điểm yếu trong quản lý nội bộ và quy trình kiểm toán kỹ thuật.
Các chuyên gia an toàn blockchain phân tích, nếu những cáo buộc trong đơn kiện là đúng sự thật, hành vi của Chen Shanxuan thuộc dạng tấn công nội bộ điển hình. Việc Infini không thực hiện đầy đủ các biện pháp bảo vệ phi tập trung trước khi đưa hợp đồng thông minh vào vận hành – chẳng hạn như ví đa ký, cơ chế khóa thời gian (time lock) hay kiểm toán độc lập từ bên thứ ba – là nguyên nhân quan trọng dẫn đến sự cố. Một chuyên gia trong ngành bình luận: «Giao quyền hạn quan trọng như vậy cho một nhân viên mới gia nhập và làm việc từ xa, mà không giám sát chặt chẽ, ban quản lý Infini khó lòng thoát trách nhiệm».
Vụ kiện Infini chống lại Chen một lần nữa gióng lên hồi chuông cảnh báo về an toàn trong ngành. Trong bối cảnh công nghệ blockchain ngày càng hòa nhập sâu vào hệ thống tài chính, các nhà sáng lập buộc phải đối mặt với những vấn đề then chốt như: thiết lập quản lý quyền hạn ra sao, thực hiện kiểm toán và xác minh chéo như thế nào, tránh để những "người chơi điên cuồng với hợp đồng" nắm giữ quyền lực then chốt, và dành sự chú ý đúng mức cho kiến trúc không tin tưởng (zero trust).
Theo tiến trình tố tụng, nhiều chi tiết hơn của vụ án có thể dần được hé lộ, qua đó có thể làm rõ toàn bộ chân tướng đằng sau vụ trộm của Chen.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Foresight News
