Infini Labs, криптовалютный необанк, подал иск против инженера, которого он обвиняет в хищении почти 50 миллионов долларов с платформы.
Банк цифровых стабильных монет обвиняет Чэнь Шаньсюаня в том, что он сохранил за собой полномочия «супер-администратора», когда смарт-контракт криптовалютной платформы был запущен в основной сети. В результате инженер похитил у компании около 49,5 миллионов долларов США (USDC).
Infini Labs подала иск в Гонконге через свою дочернюю компанию BP SG Investment Holding Limited. Утверждается, что, будучи ведущим разработчиком, Чен тайно получил доступ «суперадминистратора» и использовал эту привилегию для хищения миллионов долларов в криптовалютах из компании.
Интересно, что в иске Чен описывается как человек, погрязший в долгах и большой любитель азартных игр.
Дело было возбуждено после того, как криптовалютный поставщик кредитных карт подвергся атаке, в результате которой он потерял 49,5 миллиона долларов. Первоначальная реакция на потерю заключалась в том, что это дело рук хакеров.
Однако иск поставил Чена в затруднительное положение: в суд поданы документы, требующие заморозить активы ответчика. Infini Labs также попросила суд заставить своего бывшего главного инженера по смарт-контрактам раскрыть дальнейшие детали сделки.
Во время ограбления криптовалюты Infini в феврале средства исчезли без авторизации с помощью нескольких подписей. Чен использовал свой полный доступ для кражи, говорится в иске компании.
Иск против Чена был подан через несколько дней после того, как основатель Infini Кристиан Ли призвал «хакера» согласиться на сделку с компанией в белой шляпе. В сообщении Ли в сети также говорилось о 20-процентном вознаграждении, которое компания предлагала предполагаемому злоумышленнику.
Ли также повторил, что Infini Labs не будет предпринимать никаких юридических действий, если хакер выполнит предложение «белой шляпы» и вернет средства, как было запрошено.
Уязвимость является «хрестоматийным примером инсайдерской атаки».
Технический директор и соучредитель Trugard Джеремайя О’Коннор в своем заявлении для crypto.news объяснил, что эксплойт является «хрестоматийным примером инсайдерской атаки» в пространстве Web3. В частности, когда один инженер имеет «бесконтрольную власть» над смарт-контрактом, создается центральная точка отказа.
«Вместо того чтобы отозвать свои привилегии супер-администратора, как было обещано, этот инженер сохранил секретный бэкдор, одурачил свою собственную команду и унес 50 миллионов долларов», — добавил О’Коннор. «Если обвинения правдивы, то его мотив — скрыть проигрыш в азартных играх — делает ситуацию еще более тревожной. Когда финансовое отчаяние встречается с неограниченным контролем, результаты почти всегда бывают катастрофическими. Это еще один тревожный сигнал об опасности централизованной власти в DeFi».
По его словам, безопасность в DeFi должна основываться не только на доверии. Если бы у Infini были децентрализованные средства защиты, такие как кошельки с несколькими подписями, прозрачность цепочки или таймеры для административных изменений, атака была бы маловероятной. Поэтому любой проект, в котором «абсолютный контроль» передается одному человеку, «напрашивается на неприятности».
В Web3 безопасность заключается не в доверии, а в проверяемых средствах защиты до того, как все пойдет не так», — заключил О’Коннор.