O projeto Web3 Infini enfrenta um incidente de perda de fundos de 49,5 milhões de dólares
No dia 24 de fevereiro, o projeto de cartão de crédito Web3 e de gestão de ativos Infini sofreu um grave incidente de segurança, com cerca de 49,5 milhões de dólares a serem retirados do seu Morpho MEVCapital Usual USDC Vault. O fundador da Infini, Christian, afirmou posteriormente que 70% dos fundos roubados pertenciam a amigos próximos e grandes investidores, e que já havia comunicado com as partes relevantes, comprometendo-se a assumir pessoalmente as possíveis perdas. Os fundos restantes serão reinvestidos no vault da Infini até segunda-feira da próxima semana, para garantir o funcionamento normal do negócio.
Christian também expressou disposição para pagar 20% do resgate aos atacantes, prometendo que não tomará medidas legais se os fundos forem devolvidos. No entanto, após várias tentativas de comunicação com os atacantes sem sucesso, a equipe da Infini registrou oficialmente o caso em Hong Kong no dia 27 de fevereiro.
O rastreamento de fundos mostra que os atacantes trocaram quase 50 milhões de USDC por DAI, e em seguida trocaram DAI por cerca de 17.700 ETH. Devido à queda no preço do ETH, esses fundos atualmente valem cerca de 35,15 milhões de dólares.
No dia 20 de março, a equipe Infini lançou novamente um aviso, alertando os detentores de endereços relacionados de que os fundos roubados estão envolvidos em uma disputa legal, e qualquer detentor subsequente não pode reivindicar o status de "comprador de boa-fé".
Conteúdo chave do litígio
O autor é o CEO Chou Christian-Long da empresa BP SG Investment Holding Limited, uma subsidiária da Infini Labs em Hong Kong. O primeiro réu, Chen Shanxuan, é um residente de Foshan, Guangdong, que trabalha remotamente, e a identidade dos outros réus ainda não foi confirmada.
Documentos de litígio revelam que o primeiro réu, como principal desenvolvedor, manteve as permissões máximas de "super admin" ao implantar o contrato inteligente na mainnet, mas mentiu à equipe dizendo que havia transferido ou removido essa permissão. No final de fevereiro de 2025, cerca de 49,5 milhões de USDC foram transferidos sem autorização de múltiplas assinaturas.
O autor solicitou ao tribunal várias medidas, incluindo a imposição de uma ordem de proibição sobre os bens do réu, exigindo a divulgação de informações de identidade e ativos, entre outras. O autor também apresentou evidências que indicam que o primeiro réu pode ter acumulado enormes dívidas devido a graves hábitos de jogo, o que pode ser o seu motivo para roubar ativos da empresa.
O depoimento menciona que o primeiro réu demonstrou várias vezes pressão financeira, até mesmo buscando empréstimos a juros altos e outros canais de financiamento não convencionais. Antes do incidente, ele insinuou várias vezes uma situação financeira apertada em comunicações do grupo de trabalho e em conversas privadas, e essas declarações coincidem fortemente com o momento do roubo de ativos.
O parceiro da Kronos Research, Bane, afirmou que a equipe possui mais evidências relacionadas a detalhes da vida do caso, mas está principalmente focada na recuperação de fundos. Ele enfatizou que, embora todas as evidências apontem para um membro da equipe que era considerado confiável, até que haja uma decisão judicial, a outra parte continua sendo um suspeito.
Bane explicou os detalhes da vulnerabilidade técnica: a equipe inicialmente acreditava que os super privilégios haviam sido transferidos para a carteira de múltiplas assinaturas, mas na verdade a permissão da carteira de desenvolvimento inicial nunca foi revogada. O réu alegou que havia renunciado aos privilégios após a implantação do contrato, mas na verdade a transação de revogação nunca foi executada. Devido à relação de confiança entre as equipes, ninguém verificou novamente o estado do contrato, o que levou à tragédia.
O réu admitiu após o incidente que foi um "erro muito básico", afirmando que se esqueceu de revogar as permissões. O caso ainda está em julgamento e a decisão final ainda não foi tomada.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Detalhes do caso de perda de 49,5 milhões de dólares do projeto Infini expostos, suspeita de envolvimento de pessoal interno.
O projeto Web3 Infini enfrenta um incidente de perda de fundos de 49,5 milhões de dólares
No dia 24 de fevereiro, o projeto de cartão de crédito Web3 e de gestão de ativos Infini sofreu um grave incidente de segurança, com cerca de 49,5 milhões de dólares a serem retirados do seu Morpho MEVCapital Usual USDC Vault. O fundador da Infini, Christian, afirmou posteriormente que 70% dos fundos roubados pertenciam a amigos próximos e grandes investidores, e que já havia comunicado com as partes relevantes, comprometendo-se a assumir pessoalmente as possíveis perdas. Os fundos restantes serão reinvestidos no vault da Infini até segunda-feira da próxima semana, para garantir o funcionamento normal do negócio.
Christian também expressou disposição para pagar 20% do resgate aos atacantes, prometendo que não tomará medidas legais se os fundos forem devolvidos. No entanto, após várias tentativas de comunicação com os atacantes sem sucesso, a equipe da Infini registrou oficialmente o caso em Hong Kong no dia 27 de fevereiro.
O rastreamento de fundos mostra que os atacantes trocaram quase 50 milhões de USDC por DAI, e em seguida trocaram DAI por cerca de 17.700 ETH. Devido à queda no preço do ETH, esses fundos atualmente valem cerca de 35,15 milhões de dólares.
No dia 20 de março, a equipe Infini lançou novamente um aviso, alertando os detentores de endereços relacionados de que os fundos roubados estão envolvidos em uma disputa legal, e qualquer detentor subsequente não pode reivindicar o status de "comprador de boa-fé".
Conteúdo chave do litígio
O autor é o CEO Chou Christian-Long da empresa BP SG Investment Holding Limited, uma subsidiária da Infini Labs em Hong Kong. O primeiro réu, Chen Shanxuan, é um residente de Foshan, Guangdong, que trabalha remotamente, e a identidade dos outros réus ainda não foi confirmada.
Documentos de litígio revelam que o primeiro réu, como principal desenvolvedor, manteve as permissões máximas de "super admin" ao implantar o contrato inteligente na mainnet, mas mentiu à equipe dizendo que havia transferido ou removido essa permissão. No final de fevereiro de 2025, cerca de 49,5 milhões de USDC foram transferidos sem autorização de múltiplas assinaturas.
O autor solicitou ao tribunal várias medidas, incluindo a imposição de uma ordem de proibição sobre os bens do réu, exigindo a divulgação de informações de identidade e ativos, entre outras. O autor também apresentou evidências que indicam que o primeiro réu pode ter acumulado enormes dívidas devido a graves hábitos de jogo, o que pode ser o seu motivo para roubar ativos da empresa.
O depoimento menciona que o primeiro réu demonstrou várias vezes pressão financeira, até mesmo buscando empréstimos a juros altos e outros canais de financiamento não convencionais. Antes do incidente, ele insinuou várias vezes uma situação financeira apertada em comunicações do grupo de trabalho e em conversas privadas, e essas declarações coincidem fortemente com o momento do roubo de ativos.
O parceiro da Kronos Research, Bane, afirmou que a equipe possui mais evidências relacionadas a detalhes da vida do caso, mas está principalmente focada na recuperação de fundos. Ele enfatizou que, embora todas as evidências apontem para um membro da equipe que era considerado confiável, até que haja uma decisão judicial, a outra parte continua sendo um suspeito.
Bane explicou os detalhes da vulnerabilidade técnica: a equipe inicialmente acreditava que os super privilégios haviam sido transferidos para a carteira de múltiplas assinaturas, mas na verdade a permissão da carteira de desenvolvimento inicial nunca foi revogada. O réu alegou que havia renunciado aos privilégios após a implantação do contrato, mas na verdade a transação de revogação nunca foi executada. Devido à relação de confiança entre as equipes, ninguém verificou novamente o estado do contrato, o que levou à tragédia.
O réu admitiu após o incidente que foi um "erro muito básico", afirmando que se esqueceu de revogar as permissões. O caso ainda está em julgamento e a decisão final ainda não foi tomada.