Come se le cose non potessero andare peggio, pochi giorni dopo il crollo dell'exchange di criptovalute FTX, l'exchange è stato violato per 475 milioni di dollari. Elliptic, una società di analisi blockchain, ha dichiarato di aver ora scoperto indizi che potrebbero rivelare chi si nascondeva dietro l'attacco.
Poco dopo la violazione, 74 milioni di dollari sono stati trasferiti tramite RenBridge, una piattaforma di proprietà della società sorella di FTX, Alameda Research. Tom Robison, cofondatore e capo scienziato di Elliptic, afferma che:
I fondi sostanzialmente non sono stati spostati per nove mesi, poi un paio di giorni prima dell'inizio del processo, hanno ricominciato a spostarsi […] Perché hanno dovuto spostare i fondi adesso? Non ha davvero senso iniziare a riciclare fondi in un momento in cui c'è così tanta attenzione sulla vittima dell'hacking.
Tom Robinson
Chi ha violato FTX?
I conti associati a FTX e FTX US sono stati prosciugati l'11 novembre 2022, poche ore dopo che la società ha dichiarato fallimento. I pubblici ministeri federali hanno accusato Bankman-Fried di due capi d'accusa di frode telematica e cinque capi d'imputazione di cospirazione per commettere vari tipi di frode l'anno scorso, settimane dopo che si era dimesso dalla sua posizione presso FTX.
Dei 4.536 bitcoin (74 milioni di dollari) che RenBridge ha convertito da ether a novembre, 2.849 BTC sono stati elaborati utilizzando mixer, prevalentemente il servizio ChipMixer. Questi fondi si sono poi mescolati con risorse collegate alle reti criminali russe, compresi i colpevoli del ransomware e i mercati della darknet, ha affermato Elliptic.
Dopo la chiusura e il sequestro di ChipMixer da parte delle forze dell'ordine internazionali, gli aggressori sono migrati a Sinbad come servizio di mixaggio.
Un attore legato alla Russia sembra una possibilità più forte […] Tra i beni rubati che possono essere rintracciati tramite ChipMixer, importi significativi vengono combinati con fondi di gruppi criminali legati alla Russia, comprese bande di ransomware e mercati della darknet, prima di essere inviati agli scambi [… ] Ciò indica il coinvolgimento di un broker o altro intermediario con un nesso in Russia.
Ellittica
L'identità degli aggressori rimane sconosciuta, ma i dati di portafoglio e l'analisi dei movimenti dei fondi potrebbero far luce sulla loro identità.
Elliptic ha affermato che tra i sospettati figurano dipendenti disonesti della FTX e il gruppo informatico nordcoreano Lazarus, sospettato di sfruttare diversi protocolli crittografici. Tuttavia, i dati on-chain indicano organizzazioni russe.
L'hacker sposta le monete rubate da FTX
John J. Ray III, CEO e Chief Restructuring Officer di FTX Debtors, che gestisce la procedura fallimentare di FTX, ha dichiarato che 323 milioni di dollari in vari token sono stati rubati dalla borsa internazionale e 90 milioni di dollari dalla piattaforma statunitense.
Prima dell'inizio del processo Bankman-Fried, i beni rubati precedentemente non spostati hanno iniziato a spostarsi, e da allora hanno continuato a farlo. All'inizio di questo mese, oltre 15.000 Ether per un valore di quasi 25 milioni di dollari sono stati scambiati con altri token utilizzando il portafoglio per la privacy Railgun e l'exchange THORChain.
Utilizzando lo scambio cross-chain THORSwap, l'hacker ha scambiato circa 72.500 ETH (120 milioni di dollari) con Bitcoin. Elliptic ha osservato che anche dopo che THORSwap ha cessato le operazioni il 6 ottobre, l'hacker è stato in grado di trasferire fondi tramite THORChain tramite altre sedi.
Dopo la conversione, il bitcoin ponte è stato inviato tramite Sinbad, un servizio intermediario con legami documentati con il gruppo Lazarus della Corea del Nord. Sebbene l’uso di Sinbad sollevi sospetti sul Lazarus Group, Elliptic ha sostenuto che le strategie di riciclaggio utilizzate qui sono meno complesse e ha suggerito che la tecnica di riciclaggio aumenta la probabilità di un collegamento russo.
L'identità dell'hacker rimane sconosciuta, secondo Elliptic. Numerosi rapporti suggeriscono che il furto potrebbe essere stato un'operazione interna, che ha coinvolto i dipendenti di FTX o addirittura puntato il dito contro Bankman-Fried.
Tuttavia, per quanto riguarda il riciclaggio di denaro, Bankman-Fried potrebbe avere un alibi. Elliptic ha citato un caso particolare avvenuto il 4 ottobre 2023, quando 15 milioni di dollari di beni rubati sono stati trasferiti tramite ThorChain, un periodo in cui Bankman-Fried era in tribunale senza accesso a Internet.
Altre due società di tracciamento dei dati crittografici, TRM Labs e Chainalysis, sono state assunte dalla nuova amministrazione di FTX, guidata dal CEO John Ray III.
Se questi tracciatori di dati crittografici avranno successo, la comunità crittografica potrebbe un giorno risolvere l'enigma del furto di FTX. Nel frattempo, tuttavia, i numerosi creditori danneggiati di FTX saranno tenuti a monitorare sia il processo Bankman-Fried che la blockchain di Bitcoin.