年収百万なのに契約に溺れる：「内部者」が自作自演した5000万ドルの盗難事件？

著者：1912212.eth、Foresight News

3月20日、ブロックチェーンデータプラットフォームEtherscanは、ステーブルコインデジタルバンクInfiniチームが、あるハッカーアドレス（0xfc…6e49）に対して訴訟通知を送信し、詳細な裁判文書を添付したことを示しました。この事件は、4951万枚のUSDCに達する資産の盗難に関わっており、業界で広く注目を集めています。

訴訟の原告は、Infini Labsの完全子会社BP SG Investment Holding LimitedのCEO、Chou Christian-Longであり、被告の一人は中国広東省佛山に常駐するエンジニアChen Shanxuan（中国名：陳善軒）であり、他の二人から四人の被告の身元はまだ確認されていません。

今年2月末にInfiniが盗まれた後、わずか1ヶ月で容疑者が正式に特定されたのか？真実は一体どうなっているのでしょうか？

管理者権限の不正保持と巨額資金の盗難

訴訟文書によると、Infiniは暗号通貨と伝統的金融サービスを組み合わせたデジタルバンクであり、その核心業務にはステーブルコインUSDCを通じた支払いソリューション、高利回り口座、暗号通貨カードサービスが含まれています。原告のChou Christian-Longは文書の中で、InfiniがBP Singaporeと協力して、会社および顧客の資金の安全な保管と移転を管理するためのスマートコントラクトを開発したと述べています。この契約は第一被告のChen Shanxuanが主導して作成し、資金の転出には複数の承認者の承認が必要なマルチシグネチャ（multi-signature）メカニズムを設計しました。

しかし、スマートコントラクトがメインネットに展開された後、事態は劇的に変わりました。訴訟によれば、Chenは契約の展開過程で不正にスーパーユーザー権限を保持し、チームの他のメンバーに対してその権限を削除または移転したと嘘をついていました。

2月24日、原告は約4951万枚のUSDCが資金プールから無許可で転出されたことを発見し、資金は複数の未知のウォレットアドレスに流れ、マルチシグの検証を経ていませんでした。初期調査によれば、これらの資金はその後DAIに交換され、迅速に17,696枚のイーサリアム（ETH）を購入し、最終的に複数のアドレスに分散され、その一部の資金源はプライバシーツールTornado Cashに遡ることができます。

評判の高いエンジニアが年収百万、百倍契約のギャンブルに溺れ全てを台無しに

訴訟文書は、第一被告のChen ShanxuanがInfiniの子会社BP Singaporeに雇用されているが、主な勤務場所は中国広東省佛山であり、リモートワークの形態を取っていることを明らかにしています。スマートコントラクトの主要開発者として、Chenはプロジェクト内で核心的な権限を持っています。文書によれば、彼は会社に入社してからの期間は短いにもかかわらず、資金管理契約のスーパーユーザー役割を与えられ、この役割は契約に対する絶対的な制御権を与えています。業界関係者は、Infiniの権限配分の不備が今回の事件の引き金になった可能性があると分析しています。

さらに、原告は宣誓供述書の中で、最近Chen Shanxuanが深刻なギャンブル習慣を持っていることを知り、そのために巨額の借金を抱えている可能性があると述べています。文書には、Chenが他者との対話の中で全てを台無しにしたと認め、生活に絶望感を抱いている様子が示されたメッセージ記録のスクリーンショットが添付されています。彼は時には本当にすべてを終わらせたいと思うことがあり、生きるのがあまりにも疲れると語っています。

原告は、ギャンブルの借金がChenによる資産盗難の主な動機であると推測しています。Colin Wuによれば、Chenは以前、取引所の技術スタッフとして知識を共有する模範的な存在でした。年収百万にもかかわらず、様々な人からお金を借り続け、100倍の契約を開き、ネット貸付が増え続け、最終的には戻れない道に進んでしまったとのことです。しかし、Chenの具体的な個人背景、教育歴、職歴などについては、訴訟の中でさらなる詳細は提供されておらず、彼の真の動機は法廷でのさらなる調査を待つ必要があります。

香港の裁判所は3月27日に公聴会を主催

この事件の今後の展開は、複数の側面に関わる可能性があります。原告の最優先目標は、盗まれた資産を凍結し、損失を回収することです。香港の裁判所はこの事件を受理し、2025年3月27日午前9時30分にLok裁判官が公聴会を主催する予定であり、その際に差止命令の審査が行われます。もしChenまたは他の被告が出廷しなかった場合、裁判所は不在のまま判決を下す可能性があります。

ブロックチェーンの透明性は資産追跡を容易にしますが、ハッカーが混合サービス（Tornado Cashなど）を通じて資金を洗浄した場合、回収の難易度は大幅に増加します。以前、Infiniはハッカーに対してチェーン上で警告を発し、一部の資金（約4300万ドル）を凍結したと述べています。しかし、残りの資金が規制されていないアドレスに移転された場合、回収の希望は薄れるでしょう。

さらに、Chen本人の状況も注目されています。彼は香港とシンガポールの法体系の下で刑事告発に直面する可能性があります。もし彼のギャンブルの借金問題が事実であれば、警察は彼の資金源や他の犯罪活動に関与しているかどうかをさらに調査する可能性があります。分析者は、もしChenがすでに拘留されている場合、事件は裁判段階に急速に進む可能性があると指摘しています。

マルチシグウォレットの権限設定に潜むリスク

Infiniの今回の盗難事件は孤立した事例ではありません。2025年初頭、暗号通貨業界では相次いで安全事故が発生しており、例えば2月21日のBybit取引所の14億ドルのハッキング事件は、業界が急速に発展する中で依然として存在する安全リスクを浮き彫りにしています。Infiniは2024年にサービスを開始して以来、その革新的なステーブルコイン支払いサービスと高利回り製品で多くのユーザーを惹きつけてきましたが、この事件は内部管理と技術監査の弱点を露呈しました。

ブロックチェーンセキュリティの専門家は、訴訟の指摘が事実であれば、Chen Shanxuanの行動は典型的な内部攻撃に該当し、Infiniがスマートコントラクトを展開する前に十分な分散化保護措置（マルチシグウォレット、タイムロックメカニズム、第三者監査など）を実施しなかったことが事件の発生に重要な要因であると分析しています。業界関係者は、「このような重要な権限を新入社員のリモートワーカーに与え、厳格な監視を行わなかったInfiniの経営陣は責任を免れない」とコメントしています。

InfiniがChenを訴えたこの事件は、再び業界に安全警鐘を鳴らしました。ブロックチェーン技術が金融システムにますます統合される中で、権限管理、監査とクロス検証の設定、契約の狂ったプレイヤーが重要な権限を握ることを避けること、ゼロトラストアーキテクチャに注力することなどは、創業者が直面しなければならない重要な課題です。

訴訟が進むにつれて、事件のさらなる詳細が明らかになる可能性があり、その際にChenによる盗難の背後にある完全な真実が明らかになるかもしれません。