Infini bị đánh cắp 50 triệu USD: Nghi vấn nhân viên nội bộ gây ra, kỹ sư hợp đồng giao dịch tiền mã hóa đòn bẩy 100 lần thanh lý
Tuyển chọn TechFlowTuyển chọn TechFlow
Infini bị đánh cắp 50 triệu USD: Nghi vấn nhân viên nội bộ gây ra, kỹ sư hợp đồng giao dịch tiền mã hóa đòn bẩy 100 lần thanh lý
Khi mọi bằng chứng đều指向 một người từng được mọi người trong nhóm tin tưởng, ai nấy đều rất ngạc nhiên.
Chuyên sâu báo cáo Web3Tác giả: Mão Đệ, Ngô Thuyết Blockchain
Bối cảnh
Ngày 24 tháng 2, dự án thẻ tín dụng và tài chính Web3 Infini bị tấn công, với số tiền trị giá 49,5 triệu USD bị rút khỏi vault Morpho MEVCapital Usual USDC. Christian, người sáng lập Infini, cho biết lúc đó: "Trong số 50 triệu USD bị đánh cắp, 70% thuộc về những người bạn lớn mà tôi quen biết; hiện tại tôi đã liên hệ từng người và cam kết chịu toàn bộ tổn thất có thể xảy ra. Phần còn lại sẽ được tái đầu tư vào vault Infini trước thứ Hai tuần tới, mọi hoạt động tiếp tục như thường lệ." Anh cũng tuyên bố sẵn sàng trả 20% số tiền bị đánh cắp làm khoản chuộc và hứa sẽ không truy cứu trách nhiệm pháp lý nếu tiền được hoàn trả.
Vào lúc 20 giờ ngày 24 tháng 2, đội ngũ Infini đã gửi thông điệp trên chuỗi đến địa chỉ hacker Infini Exploiter 2: 0xfc…6e49:
Chúng tôi xin thông báo rằng chúng tôi đã thu thập được thông tin thiết yếu về IP và thiết bị liên quan đến cuộc tấn công của bạn vào Infini. Điều này là nhờ sự hỗ trợ mạnh mẽ từ các sàn giao dịch hàng đầu, các cơ quan an ninh, đối tác và cộng đồng của chúng tôi. Chúng tôi đang theo dõi sát sao địa chỉ liên quan và đã sẵn sàng đóng băng số tiền bị đánh cắp bất cứ lúc nào. Để giải quyết hòa bình sự việc này, chúng tôi sẵn sàng cung cấp 20% tài sản bị đánh cắp như một phần thưởng, với điều kiện bạn chọn hoàn trả số tiền. Ngay khi nhận được tiền hoàn lại, chúng tôi sẽ ngừng mọi hoạt động theo dõi hoặc phân tích thêm, và bạn sẽ không phải chịu trách nhiệm nào cả. Chúng tôi tha thiết kêu gọi bạn hành động trong vòng 48 giờ tới để sớm đạt được giải pháp. Nếu không nhận được phản hồi trong thời hạn này, chúng tôi sẽ không còn lựa chọn nào khác ngoài việc tiếp tục hợp tác với cơ quan thực thi pháp luật địa phương để điều tra sâu hơn về sự việc. Chúng tôi chân thành hy vọng có thể đạt được một giải pháp có lợi nhất cho tất cả các bên.
Ngày 26 tháng 2, đội ngũ Infini gửi lại thông điệp trên chuỗi lần nữa:
Đã hơn 48 giờ kể từ khi xảy ra vụ tấn công, đây là cơ hội cuối cùng để bạn hoàn trả số tiền bị đánh cắp. Nếu bạn chọn hoàn trả, chúng tôi sẽ ngay lập tức ngừng mọi hoạt động theo dõi và phân tích, và bạn sẽ không phải đối mặt với bất kỳ hậu quả nào. Vui lòng gửi 14.156 ETH (80% số tiền bị đánh cắp) đến ví lưu ký Cobo của chúng tôi:
Địa chỉ ví: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8
Ngày 27 tháng 2, Christian cho biết vụ việc hacker Infini đã chính thức được lập án tại Hồng Kông.
Về mặt tiền bạc, địa chỉ hacker 0x3a…5Ed0 đã đổi 49,52 triệu USDC sang DAI tương đương thông qua Sky (MakerDAO) vào ngày 24, sau đó chuyển DAI thành khoảng 17.700 ETH theo nhiều đợt thông qua Uniswap, rồi gửi đến địa chỉ mới 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49. Từ đó đến nay, số tiền này chưa được di chuyển thêm (nghi ngờ nghi phạm đã bị cơ quan chức năng kiểm soát ngay lập tức), tuy nhiên do giá ETH gần đây giảm mạnh, số ETH này hiện chỉ còn giá trị 35,15 triệu USD.
https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49
Nội dung vụ kiện
Lúc 18 giờ ngày 20 tháng 3, đội ngũ Infini gửi thông điệp trên chuỗi đến Infini Exploiter 2: 0xfc…6e49, cảnh báo rằng số tiền 50 triệu USD bị mất do cuộc tấn công Infini đang trong tình trạng tranh chấp pháp lý liên tục, và bất kỳ người nắm giữ tài sản mã hóa nào từng tồn tại trong ví nói trên (nếu có) đều không được quyền tuyên bố mình là người mua thiện chí.
Bên cạnh đó, thông điệp cũng đính kèm tệp hồ sơ tòa án dưới dạng liên kết, cụ thể như sau:
Nguyên đơn là Chou Christian-Long, CEO của BP SG Investment Holding Limited – công ty đăng ký tại Hồng Kông do Infini Labs sở hữu toàn bộ. Bị đơn thứ nhất là Chen Shanxuan, làm việc từ xa tại Phật Sơn, Quảng Đông. Các bị đơn thứ hai đến thứ tư hiện chưa xác định được danh tính thật.
Nguyên đơn cùng BP Singapore đã cùng phát triển một hợp đồng thông minh nhằm quản lý tiền của công ty và khách hàng, do bị đơn thứ nhất đứng đầu viết mã. Hợp đồng ban đầu được thiết lập quyền đa chữ ký (multi-signature), nhằm kiểm soát chặt chẽ mọi giao dịch rút tiền.
Khi triển khai hợp đồng lên mainnet, bị đơn thứ nhất được cho là đã giữ lại quyền super admin cao nhất, nhưng lại nói dối các thành viên khác trong nhóm rằng quyền này đã được chuyển giao hoặc loại bỏ.
Vào cuối tháng 2 năm 2025, nguyên đơn phát hiện khoảng 49.516.662,977 USDC đã bị chuyển ra khỏi hệ thống mà không qua sự cho phép của đa ký, đến một số địa chỉ ví chưa rõ (là các ví do bị đơn thứ hai đến thứ tư kiểm soát).
Do lo ngại bị đơn hoặc các đối tượng chưa rõ danh tính có thể tiếp tục chuyển hoặc rửa tiền, nguyên đơn đã nộp đơn lên tòa án yêu cầu:
-
Áp lệnh cấm ("injunction") đối với tài sản của bị đơn thứ nhất và các cá nhân liên quan, nhằm ngăn chặn việc chuyển nhượng hoặc xử lý tài sản bị đánh cắp;
-
Yêu cầu bị đơn hoặc người thực sự kiểm soát các ví tự tiết lộ danh tính;
-
Phát lệnh cưỡng chế buộc bị đơn và các chủ ví chưa xác định ngừng xử lý tài sản;
-
Yêu cầu đối phương tiết lộ thông tin giao dịch và tài sản;
-
Cho phép nguyên đơn thực hiện "giao nhận ngoài lãnh thổ" (tức giao văn bản pháp lý cho bị đơn ở nước ngoài) và các hình thức giao nhận thay thế.
Trong nội dung một bản khai có tuyên thệ, nguyên đơn cho biết: Gần đây tôi mới biết bị đơn thứ nhất có thói quen đánh bạc nghiêm trọng, có thể vì vậy mà mắc nợ khổng lồ. Tôi tin rằng điều này đã thúc đẩy anh ta ăn cắp tài sản liên quan để giải quyết nợ nần. Nguyên đơn cũng nộp ảnh chụp tin nhắn để chứng minh bị đơn có thể đang mắc nợ nặng. (Nguyên đơn cho rằng sau đó bị đơn càng chơi càng say, thường xuyên mở hợp đồng đòn bẩy 100 lần mỗi ngày)
Theo lời khai có tuyên thệ, bị đơn thứ nhất còn vay tiền từ nhiều nguồn trong thời gian ngắn, thậm chí nghi ngờ đã tiếp xúc với các tổ chức cho vay đen hay còn gọi là "loan shark", dẫn đến áp lực lãi suất cao và các cuộc gọi đòi nợ. Trong tài liệu Exhibit CCL-17, anh ta được nhắc đến khi cầu cứu người khác trong tin nhắn, nói mình đang gánh lãi của vài nơi, liên tục hỏi có thể vay thêm tiền để vượt qua khó khăn không, hoặc yêu cầu đối phương giới thiệu nguồn vốn mới.
Không lâu trước khi sự việc xảy ra, bị đơn thứ nhất đã tiết lộ tình trạng tài chính rất căng thẳng trong nhóm làm việc hoặc trao đổi riêng với đồng nghiệp/bạn bè, thậm chí bày tỏ sự lo lắng rằng nếu không kiếm được tiền, sẽ có chuyện xảy ra. Những phát ngôn này gần như trùng khớp với thời điểm tài sản mã hóa của công ty bị chuyển trái phép, từ đó củng cố nhận định động cơ của nguyên đơn: có thể do áp lực nợ nần khổng lồ mà liều lĩnh hành động.
Theo trình bày của nguyên đơn, mỗi khi bị hỏi về tài chính cá nhân hay cờ bạc, bị đơn thứ nhất đều né tránh hoặc chỉ trả lời chung chung, không rõ ràng về mức độ nợ nần hay liệu còn đang đánh bạc hay không. Bản khai tuyên thệ nêu rõ, từ cuối tháng 10 đến trước khi xảy ra vụ việc, bị đơn luôn khẳng định không có vấn đề lớn, nhưng nội dung trò chuyện riêng với người khác lại mâu thuẫn rõ rệt.
Nguyên đơn lo ngại rằng nếu bị đơn đang nóng lòng trả nợ cờ bạc hoặc muốn gỡ gạc, có thể tiếp tục nhanh chóng chuyển tài sản kỹ thuật số bị đánh cắp sang các ví khác hoặc bán ngoài sàn, khiến việc truy tìm càng khó khăn hơn. Vì vậy, họ đã khẩn cấp yêu cầu tòa án cấp lệnh phong tỏa tài sản toàn cầu, đồng thời yêu cầu bị đơn thứ nhất và các chủ ví chưa xác định tiết lộ và hoàn trả tài sản liên quan.
Bane, đối tác tại Kronos Research, cho biết: "Đội ngũ chúng tôi còn giữ rất nhiều tài liệu liên quan đến đời sống cá nhân cực kỳ phi lý chưa đưa vào hồ sơ tòa án, nhưng phần lớn không trực tiếp liên quan đến vụ án, nên chúng tôi vẫn tập trung hơn vào việc thu hồi vốn. Khi mọi bằng chứng đều chỉ về một người từng được cả đội tin tưởng tuyệt đối, ai cũng cảm thấy sốc. Nhưng động cơ chỉ là động cơ, tất cả phải dựa trên sự thật, tôi tin pháp luật sẽ mang lại kết quả công bằng. Trước khi tòa tuyên án chính thức, anh ta vẫn chỉ là nghi phạm."
Bane cho biết thêm: "Đội ngũ luôn nghĩ quyền super admin đã được chuyển cho hệ thống đa ký, nhưng anh ta dùng thư viện quyền hạn openzeppelin, vốn là cấu trúc nhiều-nhiều, nên ví dev ban đầu chưa bao giờ từ bỏ quyền hạn. Thông thường khi triển khai, mọi người dùng EOA, sau khi triển khai xong thì chuyển quyền cho đa ký. Ví dev do anh ta kiểm soát, sau khi tạo hợp đồng, theo thiết lập mặc định của thư viện quyền hạn openzeppelin, vẫn giữ quyền super admin[0]. Sau đó anh ta nói đã chuyển quyền super admin cho đa ký và trong tin nhắn còn nói dối rằng đã từ bỏ ví EOA, nhưng thực tế giao dịch revoke chưa từng được gửi đi. Về sau anh ta lại nói mình tưởng hệ thống quản lý quyền là một-một chứ không phải nhiều-nhiều, tức là nói dối rằng chỉ cần cấp quyền cho đa ký thì ví dev sẽ tự động mất quyền. Do tin tưởng, không ai kiểm tra lại trạng thái hợp đồng, dẫn đến bi kịch."
Sau sự việc, bị đơn từng nói: "Lỗi của tôi, quên revoke quyền hạn, một sai lầm cực kỳ cơ bản."
Hiện vụ việc chưa được xét xử, hồ sơ kiện kèm theo rất nhiều tin nhắn của bị đơn thứ nhất. Độc giả quan tâm có thể tải tệp gốc:
Link: https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ
Mật khẩu: D1234@5##
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
吴说区块链
