年入百萬卻沉溺合約:“內鬼”自導自演 5000 萬美元盜竊案?
他曾是交易所技術工程師年入百萬,沉溺百倍合約賭博搞砸一切。作者:1912212.eth,Foresight News
3 月 20 日,區塊鏈數據平台 Etherscan 顯示,穩定幣數字銀行 Infini 團隊通過鏈上消息向一黑客地址(0xfc…6e49)發送訴訟通知,並附上了詳細的法院訴訟文件。這起案件涉及金額高達 4951 萬枚 USDC 的資產盜竊,引發業內廣泛關注。
訴訟原告為 Infini Labs 全資子公司 BP SG Investment Holding Limited 的首席執行官 Chou Christian-Long,被告之一為常駐中國廣東佛山的工程師 Chen Shanxuan(中文名陳善軒),其餘二至四名被告身份尚未確認。
今年 2 月末 Infini 被盜,僅僅一個月過去即已正式鎖定嫌疑人?事實真相究竟如何?
私自保留管理員權限與巨額資金失竊
根據訴訟文件,Infini 是一家結合加密貨幣與傳統金融服務的數字銀行,其核心業務包括通過穩定幣 USDC 提供支付解決方案、高收益賬戶及加密貨幣卡服務。原告 Chou Christian-Long 在文件中表示,Infini 與 BP Singapore 合作開發了一款智能合約,用於管理公司及客戶資金的安全存儲與轉移。該合約由第一被告 Chen Shanxuan 主導編寫,並設計了多重簽名(multi-signature)機制,以確保任何資金轉出需經過多名授權人員的批准,從而提升資金安全性。
然而,事情在智能合約上線主網後發生了戲劇性轉折。訴訟稱,Chen 在合約部署過程中私自保留了超級管理員權限,並向團隊其他成員謊稱已將該權限移除或轉移。
2 月 24 日,原告發現約 4951 萬枚 USDC 從資金池中被未經授權轉出,資金流向多個未知錢包地址,且未經過多簽驗證。經初步調查,這些資金隨後被兌換為 DAI,並迅速購入 17,696 枚以太坊(ETH),最終分散至多個地址,其中部分資金來源可追溯至隱私工具 Tornado Cash。
備受好評的工程師年入百萬,沉溺百倍合約賭博搞砸一切
訴訟文件透露,第一被告 Chen Shanxuan 受雇於 Infini 的子公司 BP Singapore,但其主要工作地點位於中國廣東省佛山市,採取遠程工作模式。作為智能合約的主要開發者,Chen 在項目中擁有核心權限。文件指出,儘管他加入公司時間不長,卻被賦予了對資金管理合約的超級管理員角色,這一角色賦予其對合約的絕對控制權。業內人士分析,Infini 在權限分配上的疏忽可能是此次事件的導火索。
此外,原告在宣誓書中提到,近期獲悉 Chen Shanxuan 存在嚴重的賭博習慣,可能因此背負巨額債務。文件中附上了若干消息記錄截圖,其中 Chen 在與他人對話中坦言搞砸了一切,並流露出對生活的絕望情緒,稱有時候真想一了百了,活著太累了。
原告據此推測,賭博債務可能是 Chen 盜竊資產的主要動機。據 Colin Wu 表示,Chen 此前是交易所技術員工分享知識的典範。雖然年入百萬,仍不斷向各種人借錢,開 100 倍合約,網貸越來越多,最終走向不歸路。然而,關於 Chen 的具體個人背景,如教育經歷、工作履歷等,訴訟中尚未提供更多細節,其真實動機仍待法庭進一步調查。
香港法院將於 3 月 27 日主持聽證會
這起案件的後續發展可能涉及多個層面。原告的首要目標是凍結被盜資產並追回損失。香港法院已受理此案,並計劃於 2025 年 3 月 27 日上午 9 時 30 分由 Lok 法官主持聽證會,屆時將對禁制令進行審查。若 Chen 或其他被告未出庭,法院可能在缺席情況下作出裁決。
區塊鏈的透明性為資產追蹤提供了便利,但若黑客通過混幣服務(如 Tornado Cash)清洗資金,追回難度將大幅增加。此前,Infini 曾鏈上消息警告黑客,並表示已凍結部分資金(約 4300 萬美元)。然而,若剩餘資金被轉移至不受監管的地址,追回希望將變得渺茫。
此外,Chen 本人的處境也備受關注,他在香港和新加坡的法律體系下可能面臨刑事指控。若其賭博債務問題屬實,警方可能進一步調查其資金來源及是否涉及其他犯罪活動。有分析指出,若 Chen 已被拘留,案件或將加速進入庭審階段。
多簽錢包權限設置留隱患
Infini 此次失竊事件並非孤例。2025 年初,加密貨幣行業接連發生安全事故,例如 2 月 21 日的 Bybit 交易所 14 億美元黑客事件,凸顯了行業在快速發展中仍存的安全隱患。Infini 自 2024 年推出以來,因其創新的穩定幣支付服務和高收益產品吸引了大量用戶,然而,這一事件暴露了其內部管理與技術審核的薄弱環節。
區塊鏈安全專家分析,若訴訟指控屬實,Chen Shanxuan 的行為屬於典型的內部攻擊,Infini 在智能合約上線前未能實施充分的去中心化保障措施,如多簽錢包、時間鎖機制或第三方審計,是導致事件發生的重要原因。一名業內人士評論:「將如此重要的權限交給一名新入職的遠程員工,且未做嚴格監管,Infini 的管理層難辭其咎。」
Infini 訴 Chen 一案再次給行業敲響了安全警鐘。在區塊鏈技術日益融入金融體系的當下,如何設置權限管理、審計與交叉驗證、避免合約瘋狂玩家掌握重要權限、分配精力在零信任架構上等,都是創始人不得不面臨的重要議題。
隨著訴訟推進,案件的更多細節或將浮出水面,屆時或能揭開 Chen 盜竊背後的完整真相。
