편집자 | Cat Brother Wu가 블록체인에 대해 이야기합니다
배경
2월 24일, Web3 신용카드 및 재무 관리 프로젝트인 Infini가 도난당해 Morpho MEVCapital Usual USDC Vault에서 4,950만 달러 상당의 자금이 빠져나갔습니다. Infini 설립자 Christian은 당시 "도난당한 5,000만 달러의 70%는 내가 아는 절친한 친구의 소유였습니다. 저는 그들과 하나하나 연락했고, 개인적으로 손실을 감수할 것입니다. 나머지 자금은 다음 주 월요일 전에 Infini 금고에 재투자될 것이며, 모든 것이 그대로 유지될 것입니다."라고 말했습니다. 그는 또한 도난당한 금액의 20%를 해커에게 몸값으로 지불할 의향이 있으며, 자금이 반환되면 법적 조치를 취하지 않겠다고 약속했습니다.
2월 24일 20:00에 Infini Team은 Infini Exploiter 2에 온체인 메시지를 보냈습니다: 0xfc…6e49:
Infini에 대한 공격과 관련하여 주요 IP 및 기기 정보를 입수했다는 사실을 알려드립니다. 이는 최고의 거래소, 보안 기관, 파트너 및 커뮤니티의 강력한 지원을 통해 가능합니다. 우리는 관련 주소를 면밀히 감시하고 있으며, 언제든지 훔친 자금을 동결할 준비가 되어 있습니다. 이 문제를 평화롭게 해결하기 위해, 귀하께서 자금을 반환하기로 선택하신다면, 우리는 도난당한 자산의 20%를 반환할 의향이 있습니다. 반환된 자금을 수령한 후에는 어떠한 책임도 지지 않고 더 이상 추적이나 분석을 중단합니다. 가능한 한 빨리 해결책을 찾을 수 있도록 48시간 이내에 조치를 취해 주시기 바랍니다. 이 기간 내에 귀하의 답변을 받지 못할 경우, 우리는 이 사건에 대한 추가 조사를 위해 현지 법 집행 기관과 협력을 계속할 수밖에 없습니다. 우리는 모든 당사자에게 가장 좋은 해결책이 도출되기를 진심으로 바랍니다.
2월 26일, Infini Team은 또 다른 온체인 메시지를 보냈습니다.
공격 이후 48시간이 넘었고, 우리는 도난당한 자금을 반환할 수 있는 마지막 기회를 드리고자 합니다. 귀하께서 자금을 반환하기로 선택하는 경우, 우리는 즉시 모든 추적 및 분석을 중단하며, 귀하는 어떠한 결과에도 직면하지 않을 것입니다. 14156 ETH(도난당한 자금의 80%)를 Cobo 에스크로 지갑으로 보내주세요:
지갑 주소: 0x7e857de437a4dda3a98cf3fd37d6b36c139594e8
2월 27일, 크리스찬은 Infini 해킹 사건과 관련하여 홍콩에서 공식적으로 소송이 제기되었다고 밝혔습니다.
자금 측면에서 해커 주소 0x3a...5Ed0는 24일 Sky(MakerDAO)를 통해 4,952만 USDC를 동일한 양의 DAI로 교환한 후 유니스왑을 통해 DAI를 수차례의 거래로 약 17,700 ETH로 교환하여 새로운 주소 0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49로 보냈습니다. 그 이후로 자금은 더 이상 이체되지 않았습니다(피고인은 가능한 한 빨리 법 집행 기관에 의해 구금되었습니다). 하지만 최근 ETH 가격 하락으로 인해 이 ETH의 현재 가치는 3,515만 달러에 불과합니다.
https://intel.arkm.com/explorer/주소/0xfcC8Ad911976d752890f2140D9F4edd2c64a6e49
소송
3월 20일 18:00에 Infini Team은 Infini Exploiter 2: 0xfc…6e49에 온체인 메시지를 보내고 관련 주소에 경고를 보내 이전 공격에서 Infini가 잃은 5,000만 달러가 현재 진행 중인 법적 분쟁 중이며 논란의 여지가 있음을 알렸습니다. 위 지갑에 저장된 암호화폐 자산의 후속 보유자(있는 경우)는 "선의의 구매자"라고 주장할 수 없습니다.
또한 법원 소송 문서는 메시지의 링크를 통해 첨부되었습니다. 구체적인 내용은 다음과 같습니다.
원고는 Infini Labs가 전액 소유한 홍콩 등록 회사인 BP SG Investment Holding Limited의 CEO인 Chou Christian-Long입니다. 첫 번째 피고는 광둥성 포산에서 원격으로 일하는 Chen Shanxuan입니다. 두 번째에서 네 번째 피고의 실제 신원은 현재로선 확인할 수 없습니다.
원고와 BP 싱가포르는 회사와 고객의 자금을 관리하기 위한 스마트 계약을 공동으로 개발하였는데, 이는 첫 번째 피고가 작성하였다. 원래 계약에서는 자금 이체를 엄격하게 통제하기 위해 다중 서명 권한을 설정했습니다.
메인넷에서 계약이 출시되었을 당시, 첫 번째 피고인은 "슈퍼 어드민"이라는 최고 권한을 유지했지만, 다른 팀원들에게 이 권한을 "이전"하거나 "제거"했다고 거짓말을 했다는 혐의가 있습니다.
2025년 2월 말, 원고는 약 49,516,662.977달러 상당의 암호화폐 자산이 다중 서명 허가 없이 여러 개의 알려지지 않은 지갑 주소(2~4 피고인이 관리하는 지갑)로 이체된 사실을 발견했습니다.
원고는 피고인 또는 신원이 확인되지 않은 사람들이 자산을 추가로 이전하거나 세탁할 것을 우려하여 법원에 다음과 같이 신청하였습니다.
1. 제1 피고인 및 관련 미상 인물에 대하여 도난품의 이전 또는 처분을 제한하는 가처분 명령;
2. 피고인 또는 해당 지갑을 실제로 관리하는 자에게 본인의 신원을 스스로 공개하도록 합니다.
3. 첫 번째 피고인 및 기타 알려지지 않은 지갑 소유자에 대한 자산 처분을 금지하는 다양한 강제 명령을 내립니다.
4. 상대방에게 거래 및 자산정보 공개를 요구합니다.
5. 원고가 "영외 송달"(즉, 해외 피고에게 법적 문서를 송달)하고 대체 송달 방법을 사용할 수 있도록 허용합니다.
한 진술서 본문에서 원고는 다음과 같이 진술했습니다. “저는 최근 첫 번째 피고인이 심각한 도박 중독이 있고 그로 인해 많은 빚을 졌을 수도 있다는 사실을 알게 되었습니다. 나는 이것이 그가 빚을 갚기 위해 사건에 연루된 자산을 훔치도록 만든 것이라고 믿는다. 원고는 또한 첫 번째 피고가 "막대한 빚을 지고 있을 수도 있다"는 것을 증명하기 위해 관련 메시지 기록의 스크린샷을 제출했습니다. (원고는 피고가 이후 강박관념에 사로잡혀 매일 100배 레버리지로 계약을 맺었다고 주장)
진술서에 따르면, 첫 번째 피고인 역시 비교적 짧은 기간 내에 다양한 채널을 통해 자금을 빌렸고, 심지어 "지하 은행"이나 소위 "대부업자"와 접촉했다는 의심을 받았으며, 이로 인해 고금리와 채무 징수 전화의 압박을 받았다고 합니다. 증거물 "CCL-17"에 따르면 그는 채팅 중에 다른 사람들에게 도움을 요청했으며, "여러 회사로부터 이자"를 빚지고 있다고 말했고, 어려움을 극복하기 위해 더 많은 돈을 빌릴 수 있는지 계속 묻거나 상대방에게 새로운 자금원을 도입하는 데 도움을 요청했다고 언급했습니다.
사건 직전, 첫 번째 피고인은 직장 동료나 친구와의 비공개적인 의사소통이나 업무 그룹에서 자신의 재정 상황이 "매우 촉박하다"고 밝혔고, 심지어 "더 많은 돈을 받지 못하면 무슨 일이 일어날 것"이라는 불안감을 표현하기도 했습니다. 이러한 발언은 회사의 암호화폐 자산이 이후 허가 없이 이전된 시점과 거의 일치하며, 이는 첫 번째 피고인의 "동기"에 대한 원고의 판단을 강화합니다. 즉, 그는 막대한 부채의 압력으로 인해 위험을 감수했을 수 있습니다.
원고의 진술에 따르면, 개인 재정이나 도박 문제에 대해 질문을 받았을 때, 제1 피고는 반복해서 질문을 회피하거나 일반적인 답변만 했고, 얼마나 많은 빚이 있는지, 아직도 도박을 하고 있는지에 대해서도 모호한 태도를 보였습니다. 진술서에 따르면, 첫 번째 피고인은 10월 말부터 사건 발생까지 "큰 문제가 없었다"는 척을 했지만, 채팅 소프트웨어를 통해 다른 사람들과 나눈 대화 내용은 이와 명백히 모순됐다.
원고는 첫 번째 피고인이 도박 빚을 갚거나 다시 도박을 시작할 경우, 훔친 디지털 자산을 다른 지갑으로 빠르게 옮기거나 심지어 사이트 밖에서 현금화할 가능성이 있어 추적이 어려워질 수 있다고 걱정했습니다. 따라서, 첫 번째 피고인과 다른 알려지지 않은 지갑 소유자들에게 관련된 암호화폐 자산을 공개하고 반환할 것을 요구하는 전 세계 자산 동결 명령을 긴급히 법원에 신청했습니다.
크로노스 리서치의 파트너인 베인은 우리 팀이 법원 문서에 제시되지 않은 엄청난 생명 관련 자료를 아직도 많이 가지고 있지만, 그것들은 사건과는 직접적으로 관련이 거의 없으며, 우리는 여전히 자금을 회수하는 데 더 집중하고 있다고 말했습니다. 모든 증거가 한때 팀원들이 매우 신뢰했던 사람을 가리키고 있다는 사실을 알고 모두가 놀랐습니다. 하지만 동기는 동기일 뿐이고, 모든 것은 사실에 근거하며, 저는 법이 공정한 결과를 가져올 것이라고 믿습니다. 그는 판결이 내려질 때까지 용의자로 남아 있다.
베인은 팀에서 항상 슈퍼 권한이 다중 서명으로 전환되었다고 느꼈지만, 항상 다대다인 오픈제플린의 권한 라이브러리를 사용했기 때문에 최초 개발 지갑의 권한은 결코 포기되지 않았다고 말했습니다. 배포 시에는 일반적으로 eoa를 사용하고 배포 후에는 다중 서명으로 권한을 이전합니다. 계약이 생성된 후, 그가 제어하는 개발 지갑은 openzeppelin 권한 라이브러리의 초기 설정에 따라 기본적으로 슈퍼 관리자[0] 권한을 가졌습니다. 그는 나중에 이 슈퍼 관리자 권한을 다중 서명으로 이전하고 채팅 기록에 EOA를 포기했다고 거짓말했지만 실제로는 취소 트랜잭션이 전송되지 않았습니다. 나중에 그는 권한 관리가 다대다 방식이 아닌 일대일 방식이라고 생각했다고 말했는데, 즉 다중 서명에 대한 권한이 부여되는 한 개발자 지갑 권한이 자동으로 포기된다는 말은 거짓말이었다는 뜻입니다. 신뢰관계에 기반하여 아무도 계약 현황을 두 번 확인하지 않아 비극이 초래되었습니다.
피고인은 사건 이후 이렇게 말했습니다. "제 문제는 제가 허가를 취소하는 것을 잊은 것이었는데, 이는 매우 낮은 수준의 실수였습니다."
이 사건은 아직 판결이 나지 않았습니다. 제출된 소송 문서에는 첫 번째 피고인의 채팅 기록이 많이 포함되어 있습니다. 관심 있는 독자는 원본 파일을 다운로드할 수 있습니다.
링크: https://howsewilliams-my.sharepoint.com/:f:/p/regulatory/EtrvPWcvev1An5eEDMRNoRgBc1Ih7x0l6dR-Cf-0E-rC8Q?e=1g9OPJ
비밀번호 추출 : D1234@5##
