Blockchain veri platformu Etherscan, 20 Mart'ta, stablecoin dijital bankası Infini ekibinin, zincir üstü bir mesaj aracılığıyla bir hacker adresine (0xfc…6e49) bir dava bildirimi gönderdiğini ve ayrıntılı mahkeme dava belgelerini eklediğini gösterdi. Sektörde büyük ilgi gören bu davada, 49,51 milyon USDC tutarındaki varlık hırsızlığı söz konusuydu.

Davadaki davacı, Infini Labs'ın tamamen sahip olduğu bir yan kuruluş olan BP SG Investment Holding Limited'in CEO'su Chou Christian-Long'dur. Davalılardan biri, Çin'in Guangdong eyaletinin Foshan kentinde bulunan bir mühendis olan Chen Shanxuan'dır (Çince adı Chen Shanxuan). Diğer iki ila dört davalının kimlikleri henüz doğrulanmadı.

Infini bu yılın Şubat ayı sonunda çalındı ​​ve şüphelinin kimliği bir ay sonra resmen belirlendi? Gerçek nedir?

Yönetici ayrıcalıklarını gizlice elinde tutmak ve büyük miktarda para çalmak

Davaya göre Infini, kripto para birimini ve geleneksel finansal hizmetleri birleştiren bir dijital bankadır. Temel faaliyetleri arasında, sabit kripto para birimi USDC aracılığıyla ödeme çözümleri, yüksek getirili hesaplar ve kripto para birimi kart hizmetleri sağlamak yer alır. Davacı Chou Christian-Long, dosyada Infini'nin şirket ve müşteri fonlarının güvenli bir şekilde saklanması ve transferini yönetmek için BP Singapore ile birlikte akıllı bir sözleşme geliştirdiğini belirtti. Sözleşme ilk davalı Chen Shanxuan tarafından yazılmış ve herhangi bir fon transferinin birden fazla yetkili personel tarafından onaylanması zorunluluğunu garanti altına almak için çoklu imza mekanizması tasarlanmış, böylece fonların güvenliği artırılmış.

Ancak akıllı sözleşmenin ana ağda kullanıma sunulmasının ardından işler dramatik bir hal aldı. Davada Chen'in sözleşme dağıtım süreci boyunca özel olarak süper yönetici ayrıcalıklarını elinde tuttuğu ve diğer ekip üyelerine bu ayrıcalıkları kaldırdığı veya devrettiği yönünde yalan söylediği iddia ediliyor.

Davacı, 24 Şubat'ta yaklaşık 49,51 milyon USDC'nin yetkilendirme olmaksızın fon havuzundan transfer edildiğini ve fonların çoklu imza doğrulaması yapılmadan birden fazla bilinmeyen cüzdan adresine aktığını keşfetti. Ön soruşturmaya göre, fonlar daha sonra DAI'ye dönüştürüldü ve sonunda birden fazla adrese dağıtılan 17.696 Ethereum (ETH) satın almak için kullanıldı. Fonların bir kısmı gizlilik aracı Tornado Cash'e kadar izlenebildi.

Çok övülen bir mühendis yılda bir milyon dolar kazanıyor, ancak sözleşmelere kumar oynayarak her şeyi mahvediyor

Dava belgelerinde, ilk davalı Chen Shanxuan'ın Infini'nin yan kuruluşu olan BP Singapore'da çalıştığı, ancak asıl iş yerinin Çin'in Guangdong Eyaletine bağlı Foshan Şehri olduğu ve uzaktan çalışma modelini benimsediği ortaya çıktı. Akıllı sözleşmenin ana geliştiricisi olan Chen, projede temel yetkiye sahiptir. Belgede, şirketle kısa bir süredir birlikte olmasına rağmen kendisine fon yönetim sözleşmesinin süper yöneticisi rolü verildiği ve bu rolün kendisine sözleşme üzerinde mutlak kontrol sağladığı belirtiliyor. Sektör uzmanları, Infini'nin yetki dağıtımındaki ihmalkarlığının bu olayın tetikleyicisi olabileceğini analiz etti.

Ayrıca davacı, yeminli ifadesinde, Chen Shanxuan'ın ciddi bir kumar alışkanlığı olduğunu ve bunun sonucunda büyük borçlara girmiş olabileceğini yakın zamanda öğrendiğini belirtmiştir. Belgede, Chen'in başkalarıyla yaptığı konuşmalarda her şeyi mahvettiğini itiraf ettiği ve hayattan duyduğu umutsuzluğu dile getirdiği, bazen her şeye son vermek istediğini ve hayatın çok yorucu olduğunu söylediği mesaj kayıtlarının birkaç ekran görüntüsü de yer alıyordu.

Ayrıca davacı, yeminli ifadesinde, Chen Shanxuan'ın ciddi bir kumar alışkanlığı olduğunu ve bunun sonucunda büyük borçlar altına girmiş olabileceğini yakın zamanda öğrendiğini belirtmiştir. Belgede, Chen'in başkalarıyla yaptığı konuşmalarda her şeyi mahvettiğini itiraf ettiği ve hayattan duyduğu umutsuzluğu dile getirdiği, bazen her şeye son vermek istediğini ve hayatın çok yorucu olduğunu söylediği mesaj kayıtlarının birkaç ekran görüntüsü de yer alıyordu.

Davacılar bu nedenle Chen'in varlıkları çalmasının temel nedeninin kumar borçları olabileceğini ileri sürdüler. Colin Wu'ya göre Chen, daha önce borsanın teknik personeli arasında bilgi paylaşımı konusunda bir rol modeldi. Yılda bir milyon kazanmasına rağmen her çeşit insandan borç almaya, 100 katı tutarda sözleşmeler açmaya, internetten sürekli kredi çekmeye devam etti ve sonunda geri dönüşü olmayan bir yola girdi. Ancak Chen'in gerçek saiklerinin mahkeme tarafından daha fazla araştırılması gerekiyor.

Hong Kong mahkemesi 27 Mart'ta duruşma yapacak

Bu davanın bundan sonraki gelişimi birden fazla düzeyi kapsayabilir. Davacıların temel amacı çalınan varlıkların dondurulması ve zararlarının tazmin edilmesidir. Hong Kong mahkemesi davayı kabul etti ve ihtiyati tedbirin gözden geçirileceği 27 Mart 2025 günü saat 09:30'da Yargıç Lok'un başkanlık edeceği bir duruşma planladı. Chen veya diğer sanıklar mahkemeye gelmezlerse mahkeme gıyaben hüküm verebilir.

Blockchain'in şeffaflığı varlık takibini kolaylaştırıyor, ancak bilgisayar korsanları para birimi karıştırma hizmetleri (Tornado Cash gibi) aracılığıyla para aklamaya çalışırsa, kurtarma zorluğu önemli ölçüde artacaktır. Infini, daha önce hacker'ı zincir üstü bir mesajla uyarmış ve fonların bir kısmını (yaklaşık 43 milyon dolar) dondurduğunu belirtmişti. Ancak kalan paranın düzenlenmemiş bir adrese aktarılması durumunda, paranın kurtarılma umudu zayıflıyor.

Ayrıca Chen'in kendi durumu da çok dikkat çekti. Hong Kong ve Singapur hukuk sistemleri kapsamında cezai suçlamalarla karşı karşıya kalabilir. Kumar borcu sorunu doğruysa, polis paranın kaynağını ve başka suç faaliyetlerine karışıp karışmadığını daha ayrıntılı olarak araştırabilir. Bazı analistler, Chen'in gözaltına alınması durumunda davanın yargılama aşamasına hızlandırılabileceğini belirtti.

Çoklu imzalı cüzdan izin ayarları gizli tehlikeler bırakıyor

Infini'nin çalınması münferit bir olay değil. Kripto para sektörü 2025'in başlarında bir dizi güvenlik olayı yaşadı. Bunlardan biri de 21 Şubat'ta Bybit borsasının 1,4 milyar dolarlık saldırıya uğramasıydı. Bu olay, hızla gelişen sektörde hala var olan güvenlik risklerini gözler önüne serdi. Infini, 2024'teki lansmanından bu yana yenilikçi stablecoin ödeme hizmetleri ve yüksek getirili ürünleriyle çok sayıda kullanıcıyı kendine çekti. Ancak bu olay, iç yönetim ve teknik denetimlerindeki zayıflıkları ortaya çıkardı.

Blockchain güvenlik uzmanları, davadaki iddialar doğruysa Chen Shanxuan'ın davranışının tipik bir iç saldırı olduğunu analiz etti. Infini'nin akıllı sözleşme çevrimiçi olmadan önce çoklu imzalı cüzdanlar, zaman kilidi mekanizmaları veya üçüncü taraf denetimleri gibi yeterli merkezi olmayan güvenlik önlemlerini uygulamadaki başarısızlığı, olayın önemli bir nedeniydi. Sektörden bir yetkili şunları söyledi: "Infini'nin yönetimi, sıkı bir denetim olmaksızın yeni işe alınan uzaktan çalışan birine böylesine önemli bir yetkiyi verdiği için suçludur."

Infini v. Chen davası, sektörde güvenlik konusunda bir kez daha alarm verdi. Blockchain teknolojisi finansal sisteme giderek daha fazla entegre olurken, kurucular izin yönetimi, denetim ve çapraz doğrulamanın nasıl kurulacağı, çılgın sözleşme oyuncularının önemli izinleri nasıl elde edeceği ve sıfır güven mimarisine nasıl enerji ayrılacağı gibi önemli sorunlarla karşı karşıya kalıyor.

Dava ilerledikçe davanın daha fazla ayrıntısı ortaya çıkabilir ve Chen'in hırsızlığının ardındaki tüm gerçek ortaya çıkabilir.