خانه
ثبت نام / ورود
ماینر ها
سبد خرید

سرقت ۵۰ میلیون دلاری Infini Labs یک «حمله داخلی متنی» است، می‌گوید کارشناس امنیتی


سرقت ۵۰ میلیون دلاری Infini Labs یک «حمله داخلی متنی» است، می‌گوید کارشناس امنیتی | ایران ماین

اینفینی لبز، یک بانک دیجیتال متمرکز بر ارزهای دیجیتال، شکایتی علیه یک مهندس تنظیم کرده است که او را به اختلاس نزدیک به ۵۰ میلیون دلار از این پلتفرم متهم کرده است.

این بانک دیجیتال استیبل‌کوین، از چن شانشوان به خاطر حفظ Authority “super admin” در زمان راه‌اندازی قرارداد هوشمند پلتفرم در شبکه اصلی، شکایت کرده است. در نتیجه، این مهندس تقریباً ۴۹.۵ میلیون دلار USDC از این شرکت به سرقت برده است.

اینفینی لبز شکایت خود را در هنگ کنگ، از طریق شرکت تابعه BP SG Investment Holding Limited، مطرح کرده است. اتهام این است که به عنوان توسعه‌دهنده اصلی، چن به طور مخفیانه به دسترسی ‘super admin’ دسترسی داشته و از این امتیاز برای اختلاس میلیون‌ها دلار ارز دیجیتال از شرکت استفاده کرده است.

جالب توجه است که این شکایت تصویری از چن به عنوان فردی بدهکار و قمارباز ارائه می‌دهد.

این پرونده پس از آسیب‌دیدگی تأمین‌کننده کارت اعتباری ارز دیجیتال، که در آن ۴۹.۵ میلیون دلار از صندوق‌هایش تخلیه شده بود، مطرح شده است. واکنش اولیه به این خسارت این بود که این کار هکرها بود.

با این حال، این شکایت چن را در معرض خطر قرار می‌دهد و اسنادی که در دادگاه ارائه شده‌اند، درخواست می‌کنند که دارایی‌های متهم مسدود شوند. اینفینی لبز همچنین از دادگاه خواسته است که مهندس سابق قراردادهای هوشمند خود را وادار به افشای جزئیات بیشتر معاملات کند.

در سرقت ارز دیجیتال که اینفینی در فوریه متحمل شد، وجوه بدون تأیید چند امضایی ناپدید شدند. چن از دسترسی کامل خود برای سرقت استفاده کرده است، طبق آنچه شرکت در شکایت خود عنوان کرده است.

شکایت علیه چن چند روز پس از آن مطرح می‌شود که بنیان‌گذار اینفینی، کریستین لی، از “هکر” خواسته است که با شرکت در توافقنامه سفید، مشکلات را حل کند. پیام زنجیره‌ای لی همچنین پاداش ۲۰ درصدی‌ای را که شرکت به مهاجم مظنون پیشنهاد داده است را destacan کرده است.

لی همچنین تأکید کرد که اینفینی لبز قصد ندارد اقدامی قانونی انجام دهد اگر هکر با پیشنهاد بی‌ضرر همکاری کرده و وجوه را طبق درخواست بازگرداند.

این آسیب‌دیدگی یک ‘مثال کلاسیک از حمله داخلی’ است

Jeremiah O’Connor، CTO و یکی از بنیان‌گذاران Trugard به crypto.news گفت که این آسیب‌دیدگی یک “مثال کلاسیک از حمله داخلی” در فضای Web3 است. به طور خاص، زمانی که یک مهندس واحد “قدرت بدون کنترل” را بر روی یک قرارداد هوشمند داشته باشد، یک نقطه شکست مرکزی ایجاد می‌کند.

“به جای لغو امتیازات super admin خود طبق وعده، این مهندس یک در پشتی مخفی نگه داشت، تیم خود را فریب داد و با ۵۰ میلیون دلار فرار کرد,” O’Connor افزود. “اگر اتهامات درست باشد، انگیزه آنها—پوشش زیان‌های قمار—وضعیت را حتی بیشتر نگران‌کننده می‌کند. زمانی که ناامیدی مالی با کنترل unrestricted ملاقات کند، تقریباً همیشه نتایج فاجعه بار است. این یک زنگ خطر دیگر درباره خطرات قدرت متمرکز در DeFi است.”

امنیت در DeFi باید بیشتر از اعتماد متکی باشد، او گفت. اگر اینفینی از ایمن‌سازی‌های غیرمتمرکز مانند کیف‌پول‌های چند امضایی، شفافیت زنجیره‌ای، یا زمان‌بندی برای تغییرات مدیریتی استفاده می‌کرد، احتمالاً این آسیب‌دیدگی رخ نمی‌داد. بنابراین، هر پروژه‌ای که “کنترل مطلق” را به یک فرد اختصاص دهد، “درخواست دردسر” می‌کند.

در Web3، امنیت درباره اعتماد نیست؛ بلکه درباره حفاظت‌های قابل‌تأیید و اجرایی قبل از به خطر افتادن است,” O’Connor نتیجه‌گیری کرد.