3월 20일, 블록체인 데이터 플랫폼 이더스캔(Etherscan)은 스테이블코인 디지털 은행인 인피니(Infini) 팀이 해커 주소(0xfc…6e49)로 온체인 메시지를 통해 소송 통지문을 보냈으며, 자세한 법원 소송 문서를 첨부했다고 밝혔습니다. 이 사건은 4,951만 달러에 달하는 자산이 도난당한 사건으로, 업계에 폭넓은 관심을 모았습니다.

소송의 원고는 Infini Labs의 전액 자회사인 BP SG Investment Holding Limited의 CEO인 Chou Christian-Long입니다. 피고 중 한 명은 중국 광둥성 포산에 거주하는 엔지니어인 Chen Shanxuan(중국 이름 Chen Shanxuan)입니다. 다른 두 명에서 네 명의 피고의 신원은 아직 확인되지 않았습니다.

인피니는 올해 2월 말에 도난당했고, 그로부터 한 달 후에야 용의자가 공식적으로 확인됐나요? 진실은 무엇인가?

비밀리에 관리자 권한을 유지하고 막대한 돈을 훔쳤습니다.

소송에 따르면 Infini는 암호화폐와 전통적인 금융 서비스를 결합한 디지털 은행입니다. 핵심 사업에는 스테이블코인 USDC를 통한 지불 솔루션, 고수익 계좌 및 암호화폐 카드 서비스 제공이 포함됩니다. 원고인 초우 크리스찬-롱은 제출물에서 Infini가 BP 싱가포르와 협력하여 회사 및 고객 자금의 안전한 보관 및 이체를 관리하는 스마트 계약을 개발했다고 말했습니다. 이 계약서는 첫 번째 피고인인 천산쉬안이 작성했으며, 자금 이체는 반드시 복수의 공인된 인원의 승인을 받아야 하도록 다중 서명 메커니즘을 설계하여 자금의 보안을 강화했습니다.

하지만 스마트 계약이 메인넷에 출시된 후 상황은 극적으로 바뀌었습니다. 소송에서는 천 씨가 계약 배포 과정 동안 비공개적으로 최고 관리자 권한을 보유했으며, 다른 팀원들에게는 그 권한을 제거하거나 이전했다고 거짓말했다고 주장합니다.

2월 24일, 원고는 약 4,951만 USDC가 승인 없이 자금 풀에서 이체되었으며, 해당 자금은 다중 서명 검증 없이 여러 개의 알려지지 않은 지갑 주소로 흘러갔다는 사실을 발견했습니다. 예비 조사에 따르면, 그 자금은 이후 DAI로 전환되어 17,696 Ethereum(ETH)을 재빨리 구매하는 데 사용되었으며, 이는 결국 여러 주소로 분산되었습니다. 자금 중 일부는 프라이버시 도구 Tornado Cash로 거슬러 올라갈 수 있습니다.

높은 평가를 받는 엔지니어가 연봉 100만 달러를 받지만 계약에 도박을 해서 모든 것을 망칩니다.

소송 문서에 따르면, 첫 번째 피고인인 천산쉬안은 인피니의 자회사인 BP 싱가포르에 고용되었지만, 그의 주요 근무지는 중국 광둥성 포산시였으며, ​​원격 근무 모델을 채택했습니다. 스마트 계약의 주요 개발자로서 천 씨는 이 프로젝트의 핵심 권한을 갖고 있습니다. 이 문서에는 그가 회사에 근무한 기간이 짧았지만 자금 관리 계약의 최고 관리자 역할을 맡았으며, 이 역할을 통해 계약에 대한 절대적인 통제권을 가졌다고 명시되어 있습니다. 업계 관계자들은 인피니의 권한 분배 소홀이 이번 사고의 계기가 됐을 수 있다고 분석했다.

또한 원고는 진술서에서 최근 천산쉬안이 심각한 도박 습관이 있고 그로 인해 엄청난 빚을 지게 될지도 모른다는 사실을 알게 되었다고 언급했습니다. 이 문서에는 천 씨가 다른 사람과 대화하면서 모든 것을 망쳤다는 사실을 인정하고 삶에 대한 절망감을 드러내는 메시지 기록이 여러 장 스크린샷으로 포함되어 있었습니다. 때로는 모든 것을 끝내고 싶을 정도였고 삶이 너무 피곤했다고 말하는 내용이었습니다.

또한 원고는 진술서에서 최근 천산쉬안이 심각한 도박 습관이 있고 그로 인해 엄청난 빚을 지게 될지도 모른다는 사실을 알게 되었다고 언급했습니다. 문서에 첨부된 메시지 기록의 스크린샷 몇 장이 있는데, 거기서 천 씨는 다른 사람들과의 대화에서 모든 것을 망쳤다는 사실을 인정하고 삶에 대한 절망감을 드러냈으며, 때로는 모든 것을 끝내고 싶을 정도였고 삶이 너무 피곤하다고 말했다.

따라서 원고들은 도박빚이 천씨의 자산 도난의 주된 동기였을 것이라고 추측했다. Colin Wu에 따르면, Chen은 이전에 거래소 기술 직원 간 지식 공유의 롤모델이었습니다. 그는 연봉 100만 달러를 벌었지만, 온갖 사람에게서 계속 돈을 빌렸고, 100배의 금액으로 계약을 맺었으며, 점점 더 많은 온라인 대출을 받았고, 결국 돌이킬 수 없는 길로 접어들었습니다. 그러나 법원은 여전히 ​​천 씨의 진짜 동기를 더 조사할 필요가 있습니다.

홍콩 법원은 3월 27일에 심리를 열 예정이다.

이 사건의 이후 발전은 여러 단계로 진행될 수 있습니다. 원고의 주요 목표는 도난당한 자산을 동결하고 손실을 회복하는 것입니다. 홍콩 법원은 이 사건을 수락했으며, 2025년 3월 27일 오전 9시 30분에 로크 판사가 주재하는 심리 일정을 정해 가처분 명령을 재검토할 예정입니다. 천 피고인 또는 다른 피고인이 법정에 출두하지 않을 경우 법원은 결석재판으로 판결을 내릴 수 있습니다.

블록체인의 투명성은 자산 추적을 용이하게 하지만, 해커가 통화 혼합 서비스(예: 토네이도 캐시)를 통해 자금을 세탁할 경우 회수가 상당히 어려워질 것입니다. 이전에 Infini는 해커에게 온체인 메시지를 통해 경고했으며 자금 일부(약 4,300만 달러)를 동결했다고 밝혔습니다. 하지만 남은 자금이 규제되지 않은 주소로 이체될 경우, 회수 가능성은 희박해집니다.

게다가, 천 씨의 상황도 많은 주목을 받고 있습니다. 그는 홍콩과 싱가포르의 법률 시스템에 따라 형사 고발을 받을 수 있습니다. 그의 도박 빚 문제가 사실이라면 경찰은 그의 자금 출처와 그가 다른 범죄 행위에 연루되었는지 여부를 추가 조사할 가능성이 있습니다. 일부 분석가들은 천씨가 구금된다면 사건이 재판 단계로 앞당겨질 수 있다고 지적했다.

다중 서명 지갑 권한 설정은 숨겨진 위험을 초래합니다.

인피니의 도난 사건은 고립된 사건이 ​​아니다. 2025년 초, 암호화폐 산업은 일련의 보안 사고를 경험했습니다. 예를 들어 2월 21일에 발생한 Bybit 거래소 해킹 사건(14억 달러 상당)은 빠르게 발전하고 있는 산업에 여전히 존재하는 보안 위험을 강조했습니다. Infini는 2024년 출시 이후 혁신적인 스테이블코인 결제 서비스와 고수익 상품으로 많은 사용자를 유치했습니다. 그러나 이 사건은 내부 관리 및 기술 감사의 취약점을 드러냈습니다.

블록체인 보안 전문가들은 소송의 주장이 사실이라면, 첸 샨쉬안의 행동은 전형적인 내부 공격이라고 분석했습니다. Infini가 스마트 계약이 온라인에 오르기 전에 다중 서명 지갑, 타임락 메커니즘 또는 제3자 감사와 같은 충분한 분산형 보호 장치를 구현하지 못한 것이 이 사건의 중요한 원인이었습니다. 업계 관계자는 "인피니 경영진은 엄격한 감독 없이 새로 채용한 원격 직원에게 이처럼 중요한 권한을 부여한 데 대해 비난받아 마땅하다"고 말했습니다.

Infini v. Chen 사건은 업계의 안전에 대한 경각심을 다시 한 번 일깨워 주었습니다. 블록체인 기술이 금융 시스템에 점점 더 통합되면서 창업자들은 권한 관리, 감사 및 교차 검증을 설정하는 방법, 미친 계약 참여자가 중요한 권한을 얻는 것을 방지하는 방법, 제로 트러스트 아키텍처에 에너지를 할당하는 방법 등의 중요한 문제에 직면해야 합니다.

소송이 진행됨에 따라 사건의 더 많은 세부 사항이 밝혀지고, 첸의 도난 사건에 대한 모든 진실이 밝혀질 수도 있습니다.