Infini遭黑客攻击损失5000万美元：工程师因高杠杆爆仓负债，涉嫌重大内鬼行为

编辑|猫弟 吴说区块链

背景

2月24日，Web3信用卡与理财项目Infini遭遇黑客攻击，价值约4950万美元的资金从Morpho MEVCapital Usual USDC Vault流失。Infini创始人Christian在事件发生后表示：“被盗的5000万美元中有70%属于身边的几位大户朋友，我已逐一沟通并承诺由我个人承担可能的损失。剩余资金将在下周一之前重新投入到Infini vault，一切照旧。”同时，他表示愿意向黑客支付被盗金额的20%作为赎金，并承诺若资金被归还，将不采取法律行动。

2月24日20时，Infini团队向黑客地址（Infini Exploiter 2: 0xfc…6e49）发送链上消息：

“我们特此通知您，已获取关于您对Infini进行攻击的关键IP和设备信息。这得益于顶级交易所、安全机构、合作伙伴以及社区的鼎力支持。我们正在密切监控相关地址，并已做好随时冻结被盗资金的准备。为了和平解决此事，我们愿意提供20%的被盗资产作为回报，前提是您选择归还资金。一旦收到归还的资金，我们将停止进一步追踪或分析，且您无需承担任何责任。我们恳请您在接下来的48小时内采取行动，以便尽快达成解决方案。如果在期限内未收到您的回应，我们将别无选择，只能继续与当地执法机构合作，深入调查此事件。我们真诚希望能够达成一个对各方最有利的解决方案。”

2月26日，Infini团队再次向黑客发送链上消息：

“距离攻击事件发生已超过48小时，我们特此提供最后一次机会让您归还被盗资金。如果您选择归还资金，我们将立即停止所有追踪和分析，您不会面临任何后果。请将14156 ETH（被盗资金的80%）发送至我们的Cobo托管钱包：”

钱包地址：0x7e857de437a4dda3a98cf3fd37d6b36c139594e8

2月27日，Christian表示，针对Infini黑客事件已在香港正式完成立案。

资金流向方面，黑客地址0x3a...5Ed0在24日将4952万枚USDC通过Sky (MakerDAO)兑换为等额的DAI，随后将DAI通过Uniswap分多笔兑换为约1.77万枚ETH，并发送至新地址0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49。此后这笔资金未发生进一步转移（疑似被告已被执法机关控制），但由于近期ETH价格下跌，这些ETH目前仅价值3515万美元。

https://intel.arkm.com/explorer/address/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49

诉讼内容

3月20日18时，Infini团队向黑客地址（Infini Exploiter 2: 0xfc…6e49）发送链上警告，表示此前Infini遭攻击损失的5000万美元正处于持续的法律纠纷中，并具有争议性。任何曾存在于上述钱包中的加密资产的后续持有人（若有）不得主张其为“善意购买者”。

此外，消息中附上了法院诉讼文件的链接，具体内容如下：

原告是Infini Labs全资持有的香港注册公司BP SG Investment Holding Limited的CEO Chou Christian-Long，第一被告是常驻广东佛山远程办公的Chen Shanxuan，另有第二至第四被告暂时无法确认真实身份。

原告与BP Singapore共同开发了一个用于管理公司及客户资金的智能合约，该合约由第一被告主导编写。原本设置了多重签名（multi-signature）权限以严格控制任何资金转出。

然而，在合约上线到主网时，第一被告据称保留了“super admin”最高权限，却谎称已“移交”或“移除”该权限。

2025年2月下旬，原告发现价值约49,516,662.977 USDC的加密资产在未经多签许可的情况下被转出到若干未知钱包地址（由第二至第四被告控制的钱包）。

因担心被告或不明身份者进一步转移或洗走资产，原告向法院申请：

• 对第一被告及相关不明人士的财产进行“禁制令”，限制其转移或处置被盗资产；
• 令被告或实际控制相关钱包的人自我披露身份；
• 向第一被告和其他未知钱包持有人发出各类禁止处置资产的强制性命令；
• 要求对方披露交易及资产信息；
• 允许原告“域外送达”（即向境外被告送达法律文件）以及替代方式送达。

在宣誓书中，原告表示：“最近我才得知第一被告有严重的赌博习惯，可能因此背负巨额债务。我相信这促使他偷窃涉案资产，用于缓解自己的债务。”原告提交了相关聊天记录截图，以证明第一被告“可能身陷巨额债务”。（原告指出，被告日常使用100倍杠杆开合约。）

根据宣誓书的陈述，第一被告还在短时间内从不同渠道借入资金，甚至疑似接触“地下钱庄”或所谓“loan shark”，导致需要面对高额利息和催债电话的压力。Exhibit “CCL-17”中提及他在聊天中向他人求助，称自己背负“好几家的利息”，并不断询问能否再借钱渡过难关，或要求对方帮忙介绍新资金来源。

在案发前，第一被告在工作群或私下交流中多次透露其财务状况“非常紧张”，甚至表达“如果再搞不到钱，就要出事”的焦虑。这些言论与随后公司加密资产被未经授权转移的时间点几乎重合，从而强化了原告一方对第一被告“动机”的判断：或因巨额债务压力而铤而走险。

根据原告的陈述，第一被告在被问及个人财务或赌博问题时，多次回避或只做笼统回答，对自己究竟负债多少、是否仍在赌博等都语焉不详。宣誓书提出，第一被告在10月底至案发前一直佯称“没什么大问题”，但其在聊天软件里与他人谈论的内容却明显与此相矛盾。

原告担心若第一被告急于偿还赌博债务或继续翻本，可能会迅速地将盗取的数字资产转移到其他钱包乃至场外变现，从而更难追查。因此，原告向法院紧急申请世界范围内的资产冻结令，并要求第一被告及其他未知钱包持有人披露和交还涉案加密资产。

Kronos Research合伙人Bane表示：“团队手里还有许多与生活相关的离谱材料并未呈现在法院文件中，但它们与案件并无直接关联。我们更专注于追回资金本身。当所有证据都指向一个团队里曾经大家都非常信任的人时，所有人都很惊讶。但动机是动机，一切都以事实为基准，相信法律会带来公正的结果。在正式落槌之前，他依然是嫌疑人。”

Bane补充道：“团队一直认为超级权限已经转交给了多签，但他用的是OpenZeppelin的权限库，一直是多对多的关系。所以初始dev钱包的权限从未真正放弃过。部署时大家一般都用EOA，部署完把权限移交多签。他控制的dev钱包在合约创建后，默认拥有super admin[0]权限，他后面把这个权限移交给多签，并在聊天记录里谎称自己已经弃权了，但实际上revoke交易从未发出过。他又辩解说以为权限管理是一对一而不是多对多的，意思是只要把权限授予了多签，dev钱包权限就自动弃权了。基于信任关系，没人二次检查合约状态，最终酿成悲剧。”

被告在事发后曾表示：“是我的问题，忘了revoke权限，这是一个非常非常低级的错误。”

目前案件尚未判决，提交的诉讼文件中附有大量第一被告的聊天记录，有兴趣的读者可下载原文件：

Link:：https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ

提取密码: D1234@5##