سرقت ۵۰ میلیون دلاری Infini Labs یک «حمله داخلی متنی» است، میگوید کارشناس امنیتی
اینفینی لبز، یک بانک دیجیتال متمرکز بر ارزهای دیجیتال، شکایتی علیه یک مهندس تنظیم کرده است که او را به اختلاس نزدیک به ۵۰ میلیون دلار از این پلتفرم متهم کرده است.
این بانک دیجیتال استیبلکوین، از چن شانشوان به خاطر حفظ Authority “super admin” در زمان راهاندازی قرارداد هوشمند پلتفرم در شبکه اصلی، شکایت کرده است. در نتیجه، این مهندس تقریباً ۴۹.۵ میلیون دلار USDC از این شرکت به سرقت برده است.
اینفینی لبز شکایت خود را در هنگ کنگ، از طریق شرکت تابعه BP SG Investment Holding Limited، مطرح کرده است. اتهام این است که به عنوان توسعهدهنده اصلی، چن به طور مخفیانه به دسترسی ‘super admin’ دسترسی داشته و از این امتیاز برای اختلاس میلیونها دلار ارز دیجیتال از شرکت استفاده کرده است.
جالب توجه است که این شکایت تصویری از چن به عنوان فردی بدهکار و قمارباز ارائه میدهد.
این پرونده پس از آسیبدیدگی تأمینکننده کارت اعتباری ارز دیجیتال، که در آن ۴۹.۵ میلیون دلار از صندوقهایش تخلیه شده بود، مطرح شده است. واکنش اولیه به این خسارت این بود که این کار هکرها بود.
با این حال، این شکایت چن را در معرض خطر قرار میدهد و اسنادی که در دادگاه ارائه شدهاند، درخواست میکنند که داراییهای متهم مسدود شوند. اینفینی لبز همچنین از دادگاه خواسته است که مهندس سابق قراردادهای هوشمند خود را وادار به افشای جزئیات بیشتر معاملات کند.
در سرقت ارز دیجیتال که اینفینی در فوریه متحمل شد، وجوه بدون تأیید چند امضایی ناپدید شدند. چن از دسترسی کامل خود برای سرقت استفاده کرده است، طبق آنچه شرکت در شکایت خود عنوان کرده است.
شکایت علیه چن چند روز پس از آن مطرح میشود که بنیانگذار اینفینی، کریستین لی، از “هکر” خواسته است که با شرکت در توافقنامه سفید، مشکلات را حل کند. پیام زنجیرهای لی همچنین پاداش ۲۰ درصدیای را که شرکت به مهاجم مظنون پیشنهاد داده است را destacan کرده است.
لی همچنین تأکید کرد که اینفینی لبز قصد ندارد اقدامی قانونی انجام دهد اگر هکر با پیشنهاد بیضرر همکاری کرده و وجوه را طبق درخواست بازگرداند.
این آسیبدیدگی یک ‘مثال کلاسیک از حمله داخلی’ است
Jeremiah O’Connor، CTO و یکی از بنیانگذاران Trugard به crypto.news گفت که این آسیبدیدگی یک “مثال کلاسیک از حمله داخلی” در فضای Web3 است. به طور خاص، زمانی که یک مهندس واحد “قدرت بدون کنترل” را بر روی یک قرارداد هوشمند داشته باشد، یک نقطه شکست مرکزی ایجاد میکند.
“به جای لغو امتیازات super admin خود طبق وعده، این مهندس یک در پشتی مخفی نگه داشت، تیم خود را فریب داد و با ۵۰ میلیون دلار فرار کرد,” O’Connor افزود. “اگر اتهامات درست باشد، انگیزه آنها—پوشش زیانهای قمار—وضعیت را حتی بیشتر نگرانکننده میکند. زمانی که ناامیدی مالی با کنترل unrestricted ملاقات کند، تقریباً همیشه نتایج فاجعه بار است. این یک زنگ خطر دیگر درباره خطرات قدرت متمرکز در DeFi است.”
امنیت در DeFi باید بیشتر از اعتماد متکی باشد، او گفت. اگر اینفینی از ایمنسازیهای غیرمتمرکز مانند کیفپولهای چند امضایی، شفافیت زنجیرهای، یا زمانبندی برای تغییرات مدیریتی استفاده میکرد، احتمالاً این آسیبدیدگی رخ نمیداد. بنابراین، هر پروژهای که “کنترل مطلق” را به یک فرد اختصاص دهد، “درخواست دردسر” میکند.
در Web3، امنیت درباره اعتماد نیست؛ بلکه درباره حفاظتهای قابلتأیید و اجرایی قبل از به خطر افتادن است,” O’Connor نتیجهگیری کرد.
