年入百万却沉溺合约:「内鬼」自导自演 Infini 5000 万美元惊天盗窃案?
3 月 20 日,区块链数据平台 Etherscan 显示,稳定币数字银行 Infini 团队通过链上消息向一黑客地址(0xfc…6e49)发送诉讼通知,并附上了详细的法院诉讼文件。这起案件涉及金额高达 4951 万枚 USDC 的资产盗窃,引发业内广泛关注。
诉讼原告为 Infini Labs 全资子公司 BP SG Investment Holding Limited 的首席执行官 Chou Christian-Long,被告之一为常驻中国广东佛山的工程师 Chen Shanxuan(中文名陈善轩),其余二至四名被告身份尚未确认。
今年 2 月末 Infini 被盗,仅仅一个月过去即已正式锁定嫌疑人?事实真相究竟如何?
私自保留管理员权限与巨额资金失窃
根据诉讼文件,Infini 是一家结合加密货币与传统金融服务的数字银行,其核心业务包括通过稳定币 USDC 提供支付解决方案、高收益账户及加密货币卡服务。原告 Chou Christian-Long 在文件中表示,Infini 与 BP Singapore 合作开发了一款智能合约,用于管理公司及客户资金的安全存储与转移。该合约由第一被告 Chen Shanxuan 主导编写,并设计了多重签名(multi-signature)机制,以确保任何资金转出需经过多名授权人员的批准,从而提升资金安全性。
然而,事情在智能合约上线主网后发生了戏剧性转折。诉讼称,Chen 在合约部署过程中私自保留了超级管理员权限,并向团队其他成员谎称已将该权限移除或转移。
2 月 24 日,原告发现约 4951 万枚 USDC 从资金池中被未经授权转出,资金流向多个未知钱包地址,且未经过多签验证。经初步调查,这些资金随后被兑换为 DAI,并迅速购入 17,696 枚以太坊(ETH),最终分散至多个地址,其中部分资金来源可追溯至隐私工具 Tornado Cash。
备受好评的工程师年入百万,沉溺百倍合约赌博搞砸一切
诉讼文件透露,第一被告 Chen Shanxuan 受雇于 Infini 的子公司 BP Singapore,但其主要工作地点位于中国广东省佛山市,采取远程工作模式。作为智能合约的主要开发者,Chen 在项目中拥有核心权限。文件指出,尽管他加入公司时间不长,却被赋予了对资金管理合约的超级管理员角色,这一角色赋予其对合约的绝对控制权。业内人士分析,Infini 在权限分配上的疏忽可能是此次事件的导火索。
此外,原告在宣誓书中提到,近期获悉 Chen Shanxuan 存在严重的赌博习惯,可能因此背负巨额债务。文件中附上了若干消息记录截图,其中 Chen 在与他人对话中坦言搞砸了一切,并流露出对生活的绝望情绪,称有时候真想一了百了,活着太累了。
原告据此推测,赌博债务可能是 Chen 盗窃资产的主要动机。据 Colin Wu 表示,Chen 此前是交易所技术员工分享知识的典范。虽然年入百万,仍不断向各种人借钱,开 100 倍合约,网贷越来越多,最终走向不归路。然而,关于 Chen 的具体个人背景,如教育经历、工作履历等,诉讼中尚未提供更多细节,其真实动机仍待法庭进一步调查。
香港法院将于 3 月 27 日主持听证会
这起案件的后续发展可能涉及多个层面。原告的首要目标是冻结被盗资产并追回损失。香港法院已受理此案,并计划于 2025 年 3 月 27 日上午 9 时 30 分由 Lok 法官主持听证会,届时将对禁制令进行审查。若 Chen 或其他被告未出庭,法院可能在缺席情况下作出裁决。
区块链的透明性为资产追踪提供了便利,但若黑客通过混币服务(如 Tornado Cash)清洗资金,追回难度将大幅增加。此前,Infini 曾链上消息警告黑客,并表示已冻结部分资金(约 4300 万美元)。然而,若剩余资金被转移至不受监管的地址,追回希望将变得渺茫。
此外,Chen 本人的处境也备受关注,他在香港和新加坡的法律体系下可能面临刑事指控。若其赌博债务问题属实,警方可能进一步调查其资金来源及是否涉及其他犯罪活动。有分析指出,若 Chen 已被拘留,案件或将加速进入庭审阶段。
多签钱包权限设置留隐患
Infini 此次失窃事件并非孤例。2025 年初,加密货币行业接连发生安全事故,例如 2 月 21 日的 Bybit 交易所 14 亿美元黑客事件,凸显了行业在快速发展中仍存的安全隐患。Infini 自 2024 年推出以来,因其创新的稳定币支付服务和高收益产品吸引了大量用户,然而,这一事件暴露了其内部管理与技术审核的薄弱环节。
区块链安全专家分析,若诉讼指控属实,Chen Shanxuan 的行为属于典型的内部攻击,Infini 在智能合约上线前未能实施充分的去中心化保障措施,如多签钱包、时间锁机制或第三方审计,是导致事件发生的重要原因。一名业内人士评论:「将如此重要的权限交给一名新入职的远程员工,且未做严格监管,Infini 的管理层难辞其咎。」
Infini 诉 Chen 一案再次给行业敲响了安全警钟。在区块链技术日益融入金融体系的当下,如何设置权限管理、审计与交叉验证、避免合约疯狂玩家掌握重要权限、分配精力在零信任架构上等,都是创始人不得不面临的重要议题。
随着诉讼推进,案件的更多细节或将浮出水面,届时或能揭开 Chen 盗窃背后的完整真相。
