Vào ngày 20 tháng 3, nền tảng dữ liệu blockchain Etherscan đã chỉ ra rằng nhóm ngân hàng kỹ thuật số stablecoin Infini đã gửi thông báo kiện tụng đến địa chỉ tin tặc (0xfc…6e49) thông qua tin nhắn trên chuỗi và đính kèm các tài liệu kiện tụng chi tiết tại tòa án. Vụ án này liên quan đến vụ trộm tài sản trị giá 49,51 triệu đô la Mỹ, thu hút sự chú ý rộng rãi trong ngành.

Nguyên đơn trong vụ kiện là Chou Christian-Long, Tổng giám đốc điều hành của BP SG Investment Holding Limited, một công ty con do Infini Labs sở hữu hoàn toàn. Một trong những bị đơn là Chen Shanxuan (tên tiếng Trung là Chen Shanxuan), một kỹ sư có trụ sở tại Phật Sơn, Quảng Đông, Trung Quốc. Danh tính của hai đến bốn bị đơn khác vẫn chưa được xác nhận.

Chiếc Infini đã bị đánh cắp vào cuối tháng 2 năm nay và nghi phạm đã được xác định chính thức chỉ một tháng sau đó? Sự thật là gì?

Bí mật giữ lại quyền quản trị và số tiền lớn bị đánh cắp

Theo đơn kiện, Infini là một ngân hàng kỹ thuật số kết hợp tiền điện tử và các dịch vụ tài chính truyền thống. Các hoạt động kinh doanh cốt lõi của ngân hàng bao gồm cung cấp các giải pháp thanh toán, tài khoản lợi nhuận cao và dịch vụ thẻ tiền điện tử thông qua stablecoin USDC. Nguyên đơn Chou Christian-Long cho biết trong hồ sơ rằng Infini đã hợp tác với BP ​​Singapore để phát triển một hợp đồng thông minh nhằm quản lý việc lưu trữ và chuyển tiền an toàn của công ty và khách hàng. Hợp đồng được viết bởi bị đơn thứ nhất, Chen Shanxuan, và một cơ chế đa chữ ký được thiết kế để đảm bảo rằng bất kỳ giao dịch chuyển tiền nào cũng phải được nhiều nhân viên có thẩm quyền chấp thuận, do đó cải thiện tính bảo mật của tiền.

Tuy nhiên, mọi thứ đã thay đổi đáng kể sau khi hợp đồng thông minh được triển khai trên mạng chính. Vụ kiện cáo buộc rằng Chen đã bí mật giữ lại quyền quản trị viên siêu cấp trong quá trình triển khai hợp đồng và nói dối các thành viên khác trong nhóm rằng anh ta đã xóa hoặc chuyển giao quyền này.

Vào ngày 24 tháng 2, nguyên đơn phát hiện rằng khoảng 49,51 triệu USDC đã được chuyển ra khỏi quỹ tài trợ mà không được phép và số tiền này đã chảy vào nhiều địa chỉ ví không xác định mà không có xác minh đa chữ ký. Theo điều tra sơ bộ, số tiền này sau đó được chuyển đổi thành DAI và được sử dụng để nhanh chóng mua 17.696 Ethereum (ETH), cuối cùng được phân tán đến nhiều địa chỉ. Một số tiền có thể được truy ngược lại công cụ bảo mật Tornado Cash.

Một kỹ sư được ca ngợi kiếm được một triệu đô la một năm, nhưng anh ta làm hỏng mọi thứ bằng cách đánh bạc hợp đồng

Hồ sơ vụ kiện tiết lộ rằng bị đơn thứ nhất, Chen Shanxuan, được BP Singapore, một công ty con của Infini, tuyển dụng, nhưng nơi làm việc chính của ông là ở thành phố Phật Sơn, tỉnh Quảng Đông, Trung Quốc và ông áp dụng mô hình làm việc từ xa. Là nhà phát triển chính của hợp đồng thông minh, Chen có thẩm quyền cốt lõi trong dự án. Tài liệu nêu rõ rằng mặc dù ông chỉ làm việc tại công ty trong một thời gian ngắn, ông đã được giao vai trò là giám đốc quản lý hợp đồng quản lý quỹ, một vai trò cho phép ông kiểm soát tuyệt đối hợp đồng. Những người trong ngành phân tích rằng sự tắc trách của Infini trong việc phân bổ quyền hạn có thể là nguyên nhân gây ra sự cố này.

Ngoài ra, nguyên đơn còn đề cập trong bản tuyên thệ rằng gần đây anh ta mới biết Chen Shanxuan có thói quen cờ bạc nghiêm trọng và có thể đang mắc nợ rất lớn vì điều này. Tài liệu đính kèm một số ảnh chụp màn hình tin nhắn, trong đó Chen thừa nhận trong các cuộc trò chuyện với người khác rằng anh đã làm hỏng mọi thứ và bộc lộ sự tuyệt vọng của mình về cuộc sống, nói rằng đôi khi anh thực sự muốn kết thúc tất cả và cuộc sống quá mệt mỏi.

Ngoài ra, nguyên đơn còn đề cập trong bản tuyên thệ rằng gần đây ông mới biết Chen Shanxuan có thói quen cờ bạc nghiêm trọng và có thể đã mắc nợ rất lớn vì điều này. Tài liệu đính kèm một số ảnh chụp màn hình tin nhắn, trong đó Chen thừa nhận trong các cuộc trò chuyện với người khác rằng anh đã làm hỏng mọi thứ và bộc lộ sự tuyệt vọng của mình về cuộc sống, nói rằng đôi khi anh thực sự muốn kết thúc tất cả và cuộc sống quá mệt mỏi.

Do đó, nguyên đơn suy đoán rằng nợ cờ bạc có thể là động cơ chính khiến Chen trộm tài sản. Theo Colin Wu, Chen trước đây là hình mẫu về chia sẻ kiến ​​thức giữa các nhân viên kỹ thuật của sàn giao dịch. Mặc dù kiếm được một triệu đô la một năm, ông vẫn tiếp tục vay tiền từ đủ loại người, ký hợp đồng với số tiền gấp 100 lần và vay ngày càng nhiều tiền trực tuyến, cuối cùng đi vào con đường không thể quay trở lại. Tuy nhiên, động cơ thực sự của Chen vẫn cần được tòa án điều tra thêm.

Tòa án Hồng Kông sẽ tổ chức phiên điều trần vào ngày 27 tháng 3

Sự phát triển tiếp theo của vụ án này có thể liên quan đến nhiều cấp độ. Mục tiêu chính của nguyên đơn là đóng băng tài sản bị đánh cắp và thu hồi tổn thất. Tòa án Hồng Kông đã thụ lý vụ án và đã lên lịch phiên điều trần do Thẩm phán Lok chủ trì lúc 9:30 sáng ngày 27 tháng 3 năm 2025, thời điểm lệnh cấm sẽ được xem xét lại. Nếu Chen hoặc các bị cáo khác không ra tòa, tòa án có thể ra phán quyết vắng mặt.

Tính minh bạch của blockchain tạo điều kiện thuận lợi cho việc theo dõi tài sản, nhưng nếu tin tặc rửa tiền thông qua các dịch vụ trộn tiền tệ (như Tornado Cash), thì độ khó phục hồi sẽ tăng lên đáng kể. Trước đó, Infini đã cảnh báo tin tặc thông qua tin nhắn trên chuỗi và tuyên bố rằng họ đã đóng băng một phần tiền (khoảng 43 triệu đô la). Tuy nhiên, nếu số tiền còn lại được chuyển đến một địa chỉ không được quản lý thì hy vọng phục hồi sẽ trở nên mong manh.

Ngoài ra, tình hình của riêng Chen cũng thu hút nhiều sự chú ý. Ông có thể phải đối mặt với các cáo buộc hình sự theo hệ thống pháp luật của Hồng Kông và Singapore. Nếu vấn đề nợ cờ bạc của anh ta là đúng, cảnh sát có thể tiếp tục điều tra nguồn tiền của anh ta và liệu anh ta có liên quan đến các hoạt động tội phạm khác hay không. Một số nhà phân tích chỉ ra rằng nếu Trần bị bắt giữ, vụ án có thể được đẩy nhanh đến giai đoạn xét xử.

Cài đặt quyền ví đa chữ ký để lại những nguy cơ tiềm ẩn

Vụ trộm Infini không phải là trường hợp cá biệt. Vào đầu năm 2025, ngành công nghiệp tiền điện tử đã trải qua một loạt các sự cố bảo mật, chẳng hạn như vụ hack sàn giao dịch Bybit trị giá 1,4 tỷ đô la vào ngày 21 tháng 2, điều này đã nêu bật những rủi ro bảo mật vẫn tồn tại trong ngành trong quá trình phát triển nhanh chóng của nó. Kể từ khi ra mắt vào năm 2024, Infini đã thu hút được một lượng lớn người dùng cho các dịch vụ thanh toán stablecoin sáng tạo và các sản phẩm có lợi nhuận cao. Tuy nhiên, sự cố này đã phơi bày những điểm yếu trong quản lý nội bộ và kiểm toán kỹ thuật của công ty.

Các chuyên gia bảo mật Blockchain phân tích rằng nếu các cáo buộc trong vụ kiện là đúng, hành vi của Chen Shanxuan là một cuộc tấn công nội bộ điển hình. Việc Infini không triển khai đủ các biện pháp bảo vệ phi tập trung như ví đa chữ ký, cơ chế khóa thời gian hoặc kiểm toán của bên thứ ba trước khi hợp đồng thông minh được đưa lên mạng là một lý do quan trọng dẫn đến sự cố này. Một người trong ngành bình luận: "Ban quản lý của Infini phải chịu trách nhiệm vì trao quyền quan trọng như vậy cho một nhân viên mới được tuyển dụng từ xa mà không có sự giám sát chặt chẽ".

Vụ kiện Infini kiện Chen một lần nữa gióng lên hồi chuông cảnh báo về vấn đề an toàn trong ngành. Khi công nghệ blockchain ngày càng được tích hợp nhiều hơn vào hệ thống tài chính, những người sáng lập phải đối mặt với các vấn đề quan trọng như cách thiết lập quản lý quyền, kiểm toán và xác thực chéo, ngăn chặn những người chơi hợp đồng điên rồ giành được các quyền quan trọng và phân bổ năng lượng cho kiến ​​trúc không tin cậy.

Khi vụ kiện tiến triển, nhiều chi tiết hơn về vụ án có thể được đưa ra ánh sáng và toàn bộ sự thật đằng sau hành vi trộm cắp của Chen có thể được tiết lộ.