Infini fue robado 50 millones de dólares: sospecha de un caso interno de empleados, el ingeniero de contratos obtuvo liquidación al hacer comercio de criptomonedas con un apalancamiento de cien veces.

Cuando todas las pruebas apuntan a alguien en un equipo en quien todos confiaban mucho, todos están muy sorprendidos.

Escrito por: Hermano Gato, Wu habla sobre blockchain

Antecedentes

El 24 de febrero, el proyecto de tarjeta de crédito y finanzas Web3 Infini fue robado, con un valor de 49.5 millones de dólares en fondos que fluyeron desde el Morpho MEVCapital Usual USDC Vault. El fundador de Infini, Christian, declaró en ese momento: "Del total de 50 millones de dólares robados, el 70% pertenece a amigos importantes que conozco, ya he hablado con todos ellos y asumiré personalmente las posibles pérdidas. Los fondos restantes se reinvertirán en el vault de Infini antes del lunes de la próxima semana, todo seguirá igual. También expresó su disposición a pagar el 20% del monto robado al hacker como rescate, y prometió que no se tomarían acciones legales si los fondos eran devueltos."

El 24 de febrero a las 20:00, el equipo de Infini envió un mensaje en cadena a Infini Exploiter 2: 0xfc…6e49:

Le notificamos que hemos obtenido información clave sobre la dirección IP y los dispositivos involucrados en el ataque a Infini. Esto ha sido posible gracias al apoyo de los principales intercambios, agencias de seguridad, socios y nuestra comunidad. Estamos monitoreando de cerca las direcciones relacionadas y estamos preparados para congelar los fondos robados en cualquier momento. Para resolver este asunto pacíficamente, estamos dispuestos a ofrecer el 20% de los activos robados como recompensa, siempre que elija devolver los fondos. Una vez que recibamos los fondos devueltos, detendremos cualquier seguimiento o análisis adicional, y no tendrá que asumir ninguna responsabilidad. Le rogamos que actúe en las próximas 48 horas para alcanzar una solución lo antes posible. Si no recibimos su respuesta dentro del plazo, no tendremos otra opción que continuar colaborando con las autoridades locales para investigar a fondo este incidente. Esperamos sinceramente poder llegar a una solución que sea beneficiosa para todas las partes.

El 26 de febrero, el equipo de Infini volvió a enviar un mensaje en la cadena:

Han pasado más de 48 horas desde el incidente de ataque, por lo que le ofrecemos una última oportunidad para devolver los fondos robados. Si decide devolver los fondos, detendremos inmediatamente todo seguimiento y análisis, y no enfrentará ninguna consecuencia. Por favor, envíe 14156 ETH (el 80% de los fondos robados) a nuestra billetera de custodia Cobo:

Dirección de la billetera: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8

El 27 de febrero, Christian declaró que el caso del hackeo de Infini ha sido formalmente registrado en Hong Kong.

En términos de fondos, la dirección del hacker 0x3a…5Ed0 intercambió 49.52 millones de USDC por el equivalente en DAI a través de Sky (MakerDAO) el día 24, y luego convirtió DAI en varias transacciones en aproximadamente 17,700 ETH a través de Uniswap, enviándolos a la nueva dirección 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49. Después de esto, estos fondos no sufrieron más transferencias (se sospecha que el acusado ya fue controlado por las autoridades en ese momento), pero debido a la reciente caída del precio de ETH, estos ETH actualmente solo tienen un valor de 35.15 millones de dólares.

Contenido de la demanda

El 20 de marzo a las 18:00, el equipo de Infini envió un mensaje en la cadena a Infini Exploiter 2: 0xfc…6e49, advirtiendo a la dirección relacionada que los 50 millones de dólares perdidos por Infini en un ataque anterior están en una disputa legal continua y son controvertidos; cualquier titular posterior de activos criptográficos que hayan estado en la billetera mencionada anteriormente (si los hay) no puede reclamarlos como compradores de buena fe.

Además, se adjuntaron los documentos judiciales a través de un enlace en el mensaje, el contenido específico es el siguiente:

El demandante es Chou Christian-Long, CEO de BP SG Investment Holding Limited, una empresa registrada en Hong Kong de propiedad total de Infini Labs. El primer demandado es Chen Shanxuan, que trabaja de forma remota en Foshan, Guangdong, y hay demandados del segundo al cuarto cuyas verdaderas identidades no se pueden confirmar temporalmente.

El demandante, junto con BP Singapore, desarrolló un contrato inteligente para gestionar los fondos de la empresa y de los clientes, que fue redactado por el primer demandado. Este contrato originalmente estableció permisos de firma múltiple (multi-signature) para controlar estrictamente cualquier salida de fondos.

Cuando el contrato se lanzó en la mainnet, se alega que el primer demandado retuvo el máximo privilegio de super admin, pero le dijo a otros miembros del equipo que había transferido o eliminado ese privilegio.

A finales de febrero de 2025, el demandante descubrió que activos criptográficos por un valor de aproximadamente 49,516,662.977 USDC fueron transferidos a varias direcciones de billetera desconocidas (billeteras controladas por el segundo al cuarto demandado) sin el permiso de múltiples firmas.

Debido a la preocupación de que el demandado o personas de identidad desconocida puedan transferir o lavar los activos, el demandante solicita al tribunal:

• Imponer una "orden de restricción" sobre los bienes del primer demandado y de personas no identificadas relacionadas, limitando su transferencia o disposición de los activos robados;
• Hacer que el acusado o la persona que controla realmente la billetera relacionada se revele su identidad;
• Emitir órdenes coercitivas de prohibición de disposición de activos a los primeros demandados y a otros titulares de billeteras desconocidas;
• Exigir a la otra parte que revele información sobre transacciones y activos;
• Permitir la entrega extraterritorial al demandante (es decir, la entrega de documentos legales a los demandados en el extranjero) y la entrega por métodos alternativos.

En el cuerpo de una de las declaraciones juradas, el demandante afirma: recientemente me enteré de que el primer demandado tiene un grave hábito de juego y puede haber acumulado una gran deuda como resultado. Creo que esto lo llevó a robar los activos involucrados para aliviar su deuda. El demandante también presentó capturas de pantalla de registros de mensajes relevantes para demostrar que el primer demandado podría estar en una gran deuda. (El demandante señala que el demandado se volvió loco, utilizando un apalancamiento de 100 veces para abrir y cerrar contratos en su vida diaria.)

De acuerdo con la declaración jurada, el primer acusado también tomó prestados fondos de diferentes fuentes en un período de tiempo relativamente corto, e incluso se sospechaba que estaba en contacto con bancos clandestinos o los llamados usureros, lo que resultó en la presión de las altas tasas de interés y las llamadas de cobro de deudas. En la prueba documental CCL-17 se menciona que pide ayuda en el chat, diciendo que está cargado con intereses de varias empresas, y constantemente pregunta si puede pedir prestado más dinero para superar la difícil situación, o les pide que le ayuden a introducir nuevas fuentes de financiación.

Poco antes de que ocurriera el caso, el primer demandado había revelado en el grupo de trabajo o en conversaciones privadas con colegas/amigos que su situación financiera era muy tensa, incluso expresó su ansiedad de que si no conseguía dinero pronto, habría problemas. Estas declaraciones casi coinciden con el momento en que los activos criptográficos de la empresa fueron transferidos sin autorización, lo que refuerza el juicio del lado del demandante sobre la motivación del primer demandado: actuar de manera arriesgada debido a la presión de una enorme deuda.

Según la declaración del demandante, el primer demandado evitó en varias ocasiones responder a preguntas sobre sus finanzas personales o problemas de juego, o solo dio respuestas generales, sin aclarar cuánto debía realmente o si seguía jugando. La declaración jurada plantea que el primer demandado pretendió no tener problemas importantes desde finales de octubre hasta antes del incidente, pero el contenido de sus conversaciones en aplicaciones de mensajería era claramente contradictorio con esto.

El demandante teme que si el primer demandado se apresura a saldar las deudas de juego o a recuperar sus pérdidas, podría continuar transfiriendo rápidamente los activos digitales robados a otras billeteras o incluso convertirlos en efectivo fuera de la plataforma, lo que haría más difícil su rastreo. Por lo tanto, solicitó urgentemente al tribunal una orden de congelación de activos a nivel mundial y pidió que el primer demandado y otros titulares de billeteras desconocidos revelen y devuelvan los activos criptográficos involucrados en el caso.

Bane, socio de Kronos Research, indicó que el equipo aún tiene muchos materiales relacionados con la vida que no se han presentado en los documentos judiciales, pero que de una manera u otra no están directamente relacionados con el caso; seguimos más enfocados en recuperar los fondos en sí. Cuando todas las pruebas apuntan a una persona en quien todos en el equipo habían confiado mucho, todos se sorprenden. Pero el motivo es el motivo, todo se basa en los hechos, confiamos en que la ley traerá un resultado justo. Hasta que se caiga el martillo oficialmente, sigue siendo un sospechoso.

Bane señaló que el equipo siempre pensó que los superpoderes se habían transferido a la multisig, pero él usó la biblioteca de permisos de OpenZeppelin, que siempre ha sido de muchos a muchos, por lo que los permisos de la billetera dev inicial nunca se abandonaron. En el momento del despliegue, todos generalmente usan EOA, y después de desplegar, transfieren los permisos a la multisig. La billetera dev que él controla, después de la creación del contrato, por la configuración inicial basada en la biblioteca de permisos de OpenZeppelin, tiene por defecto el permiso de super admin [0]. Más tarde, él transfirió este permiso de super admin a la multisig y en el registro de chat mintió diciendo que ya había renunciado a la EOA, pero en realidad nunca se emitió una transacción de revocación. Después, también dijo que pensaba que la gestión de permisos era de uno a uno y no de muchos a muchos, lo que significa que mintió diciendo que una vez que se otorgaron los permisos a la multisig, los permisos de la billetera dev se renunciaban automáticamente. Basado en la relación de confianza, nadie volvió a verificar el estado del contrato, lo que llevó a la tragedia.

El acusado declaró después del incidente: Mi problema, olvidé revocar los permisos, un error muy, muy básico.

En la actualidad, el caso aún no se ha decidido, y una gran cantidad de registros de chat del primer acusado se adjuntan a los documentos de litigio presentados, y los lectores interesados pueden descargar los documentos originales:

Link:：

Contraseña de extracción: D1234@5##