Infini bị đánh cắp 50 triệu đô la: nghi ngờ lừa đảo nhân viên nội bộ, kỹ sư hợp đồng kiếm được đầu cơ coin cháy tài khoản

avatar
Wu Blockchain
03-20
Bài viết này được dịch máy
Xem bản gốc
Dưới đây là bản dịch tiếng Việt của nội dung trên:

Biên tập | Mèo em Wusuo về Blockchain

Bối cảnh

Ngày 24 tháng 2, dự án thẻ tín dụng Web3 và quản lý tài sản Infini bị đánh cắp, 49,5 triệu USD đã chảy ra khỏi Morpho MEVCapital Usual USDC Vault. Người sáng lập Infini, Christian, lúc đó cho biết: "70% trong số 50 triệu USD bị đánh cắp thuộc về những người bạn lớn quen biết, tôi đã liên lạc với họ và sẽ tự chịu những thiệt hại có thể xảy ra, số tiền còn lại sẽ được đưa trở lại Infini vault trong tuần tới, mọi thứ sẽ như cũ. Ông cũng cho biết sẵn sàng trả 20% số tiền bị đánh cắp làm tiền chuộc và hứa sẽ không khởi kiện nếu số tiền được hoàn trả.

Vào 20h ngày 24 tháng 2, Infini Team đã gửi tin nhắn trên chuỗi cho Infini Exploiter 2: 0xfc...6e49:

Chúng tôi xin thông báo rằng, nhờ sự hỗ trợ của các sàn giao dịch hàng đầu, các cơ quan an ninh và cộng đồng của chúng tôi, chúng tôi đã thu thập được thông tin quan trọng về địa chỉ IP và thiết bị liên quan đến cuộc tấn công của bạn vào Infini. Chúng tôi đang theo dõi chặt chẽ các địa chỉ liên quan và đã sẵn sàng đóng băng số tiền bị đánh cấp bất cứ lúc nào. Để giải quyết vấn đề một cách hòa bình, chúng tôi sẵn sàng trả lại 20% số tài sản bị đánh cắp với điều kiện bạn chọn hoàn trả số tiền. Một khi nhận được số tiền hoàn trả, chúng tôi sẽ ngừng mọi hoạt động truy tìm hoặc phân tích, và bạn sẽ không phải chịu bất kỳ trách nhiệm nào. Chúng tôi yêu cầu bạn hãy hành động trong vòng 48 giờ tới để đạt được một giải pháp sớm. Nếu không nhận được phản hồi từ bạn trong thời hạn này, chúng tôi sẽ không còn lựa chọn nào khác ngoài việc tiếp tục hợp tác với cơ quan thực thi pháp luật địa phương để điều tra sâu vụ việc này. Chúng tôi thành thật hy vọng có thể đạt được một giải pháp có lợi cho tất cả các bên.

Ngày 26 tháng 2, Infini Team một lần nữa gửi tin nhắn trên chuỗi cho đối tượng:

Đã hơn 48 giờ kể từ khi sự cố xảy ra, chúng tôi xin cung cấp cho bạn cơ hội cuối cùng để hoàn trả số tiền bị đánh cắp. Nếu bạn chọn hoàn trả số tiền, chúng tôi sẽ ngay lập tức ngừng mọi hoạt động truy tìm và phân tích, và bạn sẽ không phải đối mặt với bất kỳ hậu quả nào. Vui lòng gửi 14.156 ETH (tương đương 80% số tiền bị đánh cắp) đến ví Cobo của chúng tôi:

Địa chỉ ví: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8

Ngày 27 tháng 2, Christian cho biết, liên quan đến vụ hack Infini, họ đã chính thức nộp đơn kiện tại Hồng Kông.

Về tài chính, địa chỉ hacker 0x3a...5Ed0 đã chuyển đổi 49,52 triệu USDC thành DAI tương đương thông qua Sky (MakerDAO) vào ngày 24, sau đó chuyển đổi DAI thành khoảng 17.700 ETH thông qua Uniswap theo nhiều lần, và gửi đến địa chỉ mới 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49. Sau đó, số tiền này chưa có thêm chuyển động nào (nghi ngờ đối tượng đã bị cơ quan thực thi pháp luật kiểm soát ngay từ đầu), nhưng do giá ETH gần đây giảm mạnh, số ETH này hiện chỉ còn trị giá 35,15 triệu USD.

https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49

Nội dung khởi kiện

Vào 18h ngày 20 tháng 3, Infini Team đã gửi tin nhắn trên chuỗi cho Infini Exploiter 2: 0xfc...6e49, cảnh báo các địa chỉ liên quan rằng 50 triệu USD mà Infini bị tấn công và mất đang trong quá trình tranh chấp pháp lý, và bất kỳ người nắm giữ tài sản mã hóa nào từng tồn tại trong các ví trên (nếu có) sẽ không thể tuyên bố là "người mua thiện chí".

Ngoài ra, họ cũng đính kèm tài liệu khởi kiện của tòa án thông qua liên kết, với nội dung cụ thể như sau:

Nguyên đơn là Giám đốc điều hành của công ty đăng ký tại Hồng Kông BP SG Investment Holding Limited, là công ty con 100% của Infini Labs. Bị đơn thứ nhất là Chen Shanxuan, thường trú tại Phúc Châu, Quảng Đông, làm việc từ xa, còn bị đơn thứ hai đến thứ tư chưa xác định được danh tính thực sự.

Nguyên đơn cùng với BP Singapore đã phát triển một hợp đồng thông minh để quản lý tiền của công ty và khách hàng, do bị đơn thứ nhất chủ trì viết mã. Hợp đồng này ban đầu được thiết lập với quyền đa chữ ký (multi-signature) để kiểm soát chặt chẽ bất kỳ khoản rút tiền nào.

Khi hợp đồng được triển khai lên mainnet, bị đơn thứ nhất được cho là đã giữ lại "super admin" - quyền cao nhất, nhưng lại nói dối với các thành viên khác trong nhóm rằng đã "chuyển giao" hoặc "xóa bỏ" quyền này.

Cuối tháng 2 năm 2025, nguyên đơn phát hiện khoảng 49.516.662,977 USDC đã bị chuyển ra khỏi các ví chưa được cấp phép đa chữ ký (các ví do bị đơn thứ hai đến thứ tư kiểm soát).

Vì lo ngại bị đơn hoặc những người không rõ danh tính sẽ tiếp tục chuyển hoặc rửa số tài sản này, nguyên đơn đã yêu cầu tòa án:

1. Áp lệnh cấm chuyển nhượng hoặc xử lý tài sản bị đánh cắp đối với bị đơn thứ nhất và những người liên quan không rõ danh tính;

2. Yêu cầu bị đơn hoặc những người thực sự kiểm soát các ví liên quan tự tiết lộ danh tính;

3. Đưa ra các lệnh cấm bắt buộc đối với bị đơn thứ nhất và những người sở hữu ví không rõ danh tính khác không được xử lý tài sản;

4. Yêu cầu cung cấp thông tin về các giao dịch và tài sản;

5. Cho phép nguyên đơn "gửi tài liệu pháp lý ra nước ngoài" (tức là gửi tài liệu pháp lý cho bị đơn ở nước ngoài) và các phương thức gửi thay thế.

Trong một bản tuyên thệ, nguyên đơn cho biết: Mới đây tôi mới biết bị đơn thứ nhất có thói quen cờ bạc nghiêm trọng, có thể đã gánh khoản nợ khổng lồ vì đó. Tôi tin rằng điều này đã thúc đẩy anh ta ăn cắp tài sản liên quan, để giảm bớt khoản nợ của mình. Nguyên đơn cũng đính kèm các ảnh chụp tin nhắn để chứng minh bị đơn thứ nhất "có thể đang mắc nợ nần lớn" (nguyên đơn chỉ ra rằng bị đơn sau đó đã trở nên mất kiểm soát, mở các hợp đồng với đòn bẩy 100 lần).

Theo lời khai trong bản tuyên thệ, bị đơn thứ nhất còn vay tiền từ nhiều nguồn khác nhau trong thời gian ngắn, thậm chí nghi ngờ đã liên hệ với "tín dụng đen" hoặc những người cho vay nặng lãi, dẫn đến phải đối mặt với lãi suất cao và các cuộc gọi đòi nợ. Trong Exhibit "CCL-17", có đề cập đến việc anh ta đã nhờ người khác giúp đỡ trong các cuộc trò chuyện, nói rằng mình đang phải trả "lãi suất của nhiều nơi", liên tục hỏi xem có thể vay thêm tiền để vượt qua khó khăn hay không, hoặc yêu cầu người khác giới thiệu nguồn tiền mới.

Ngay trước khi vụ việc xảy ra, bị đơn thứ nhất trong các cuộc trao đổi công việc hoặc riêng tư với đồng nghiệp/bạn bè đều đã tiết lộ rằng tình hình tài chính của anh ta "rất căng thẳng", thậm chí có biểu hiện lo lắng "nếu không kiếm được thêm tiền, sẽ xảy ra chuyện". Những lời nói này gần như trùng khớp với thời điểm tài sản mã hóa của công ty bị chuyển ra ngoài khi không được phép, từ đó củng cố thêm nhận định của nguyên đơn về "động cơ" của bị đơn thứ nhất: có thể do áp lực nợ nần lớn mà liều lĩnh.

Theo lời khai của nguyên đơn, khi được hỏi về tình hình tài chính cá nhân hoặc vấn đề cờ bạc, bị đơn thứ nhất thường né tránh hoặc chỉ trả lời chung chung, không nói rõ mình nợ bao nhiêu hay có tiếp tục cờ bạc hay không. Bản tuyên thệ nêu rằng, từ cuối tháng 10 đến trước khi vụ việc xảy ra, bị đơn thứ nhất vẫn giả vờ "không có vấn đề gì lớn", nhưng nội dung trò chuyện trên các ứng dụng nhắn tin lại hoàn toàn mâu thuẫn với điều đó.

Nguyên đơn lo ngại nếu bị đơn thứ nhất gấp rút trả nợ cờ bạc hoặc tiếp tục cố gắng lật ngược tình thế, có thể sẽ nhanh chóng chuyển tiếp tài sản mã hó

Bane cho biết, đội ngũ luôn cho rằng các quyền hạn tối cao đã được chuyển giao cho Đa chữ ký (Multi-SIG) nhưng ông ta đã sử dụng thư viện quyền hạn của openzeppelin, luôn là nhiều-nhiều, vì vậy quyền hạn của ví dev ban đầu không bao giờ bị từ bỏ. Thông thường, mọi người đều sử dụng EOA để triển khai, sau đó chuyển giao quyền hạn cho Đa chữ ký (Multi-SIG). Sau khi hợp đồng được tạo, dựa trên cài đặt ban đầu của thư viện quyền hạn openzeppelin, ví dev mà ông ta kiểm soát có quyền super admin[0] mặc định, sau đó ông ta chuyển giao quyền super admin này cho Đa chữ ký (Multi-SIG) và nói dối trong lịch sử trò chuyện rằng ông ta đã từ bỏ quyền của EOA, nhưng thực tế giao dịch revoke chưa bao giờ được gửi. Sau đó, ông ta lại nói rằng ông ta nghĩ quản lý quyền hạn là một-một chứ không phải nhiều-nhiều, nghĩa là ông ta nói dối rằng chỉ cần cấp quyền cho Đa chữ ký (Multi-SIG) thì quyền của ví dev sẽ tự động bị từ bỏ. Dựa trên mối quan hệ tin cậy, không ai kiểm tra lại trạng thái hợp đồng, dẫn đến thảm kịch. Sau khi sự việc xảy ra, bị cáo đã từng tuyên bố: Đây là lỗi của tôi, tôi đã quên không revoke quyền, đây là một sai lầm rất, rất sơ đẳng. Hiện tại, vụ án vẫn chưa có bản án, các tài liệu khởi kiện có kèm theo rất nhiều lịch sử trò chuyện của bị cáo thứ nhất, những ai quan tâm có thể tải về tài liệu gốc: Link: https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ Mật khẩu: D1234@5##

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan
Followin logo
Không có bình luận
avatar
Trả lời