Ore dopo che FTX ha dichiarato bancarotta , circa 600 milioni di dollari in diversi token crittografici sono stati spostati non autorizzati dai conti dell'exchange, la maggior parte dei quali è stata confermata essere stata rubata da un attore sconosciuto. Sebbene l'exploit rimanga un mistero, i rapporti e le informazioni sulla catena tendono a suggerire che l'autore potrebbe essere qualcuno vicino all'exchange, forse Sam Bankman-Fried (SBF).
Chi c'è dietro il portafoglio svuota conti FTX?
In una mozione d'urgenza depositata il 17 novembre, gli avvocati di FTX hanno accusato Sam Bankman-Fried e il co-fondatore di FTX Gary Wang di aver trasferito in modo non autorizzato fondi dall'exchange in bancarotta, ai sensi della direttiva del regolatore delle Bahamas. Gli avvocati hanno affermato di avere prove che i regolatori delle Bahamas hanno diretto "l'accesso non autorizzato ai sistemi dei debitori allo scopo di ottenere risorse digitali dei debitori".
La Securities Commission delle Bahamas ha confermato di aver ordinato il movimento di alcune risorse digitali controllate dalla filiale locale dell'exchange FTX, FTX Digital Markets (FDM) , a un indirizzo separato che la commissione controlla. Ciò è accaduto il 12 novembre, un giorno dopo la dichiarazione di fallimento di FTX, ma la commissione ha spiegato di aver emesso quell'azione di emergenza per la custodia dei beni e per proteggere gli interessi di tutti i clienti e creditori di FDM.
Sebbene non sia chiaro se i fondi spostati dall'SBF e dal regolatore delle Bahamas facciano parte dei più grandi $ 600 milioni rubati da FTX, le informazioni sulla catena suggeriscono che probabilmente non lo è, dato il mezzo sofisticato con cui le criptovalute rubate vengono spostate attraverso blockchain. Ma ciò che rimane evidente è che lo sfruttamento di FTX potrebbe essere un "lavoro interno".
Lookonchain ha rilevato il coordinamento nel modello di trading tra l'indirizzo dell'hacker di FTX, attualmente contrassegnato come "FTX Accounts Drainer" su Etherscan, e un altro indirizzo Ethereum "0xd275", coinvolto nell'appropriazione indebita di fondi degli utenti, come confermato da un ex ingegnere senior di FTX, Vydamo.
Due giorni prima che FTX sospendesse i prelievi, 0xd275 ha iniziato a effettuare trasferimenti ETH su larga scala sulla catena, che secondo Lookonchain non si sono mai verificati dalla creazione dell'indirizzo. "Il tempo coincide con il momento in cui l'exchange FTX ha sospeso i prelievi degli utenti", ha affermato la piattaforma di ricerca on-chain.
Ciò che affascina di più è la correlazione tra gli indirizzi. 0xd275 trasferirebbe fondi agli scambi, probabilmente per shortare ETH, alcuni minuti prima che FTX Accounts Drainers scarichi ETH.
Il tempo di transazione di 0xd275 è molto coerente con FTX Accounts Drainer, sembra che stia operando la stessa persona. Quando 0xd275 smette di fare trading, FTX Accounts Drainer inizia a fare trading; e quando FTX Accounts Drainer smette di fare trading, 0xd275 riprende a fare trading.
Lookonchain
Questa coincidenza suggerisce che l'hacker o qualcuno a conoscenza delle attività di FTX Accounts Drainer potrebbe anche avere il controllo di 0xd275, che è già stato dichiarato di proprietà di qualcuno vicino a FTX. In quanto tale, è plausibile che chiunque provenga da FTX – potrebbe essere SBF – possa aver drenato fondi dall'exchange.
L'hacker FTX sta cercando di riciclare fondi
FTX è stato prosciugato su entrambe le reti Ethereum e Binance. In più transazioni, tutte le criptovalute rubate sono state scambiate tramite protocolli decentralizzati su Ether (ETH) contenuto nel portafoglio Ethereum principale. Dopo diverse conversioni e asset bridge, l'indirizzo ha accumulato circa 288k ETH, rendendo l'hacker il 35° più grande detentore di Ethereum.
Ma negli ultimi giorni, gli hacker hanno ricominciato a collegare l'Ether rubato, ma alla blockchain di Bitcoin, in quello che si ritiene essere un tentativo di riciclaggio. Precisamente il 20 novembre, FTX Accounts Drainer ha spostato 50k ETH a un indirizzo univoco 0x866E, che è stato successivamente scambiato con renBTC e collegato a Bitcoin.
Uno degli indirizzi BTC – “Bc1qv…gpedg” – che ha ricevuto i Bitcoin con bridge dall'hacker FTX, ha avviato una catena di peel poco dopo aver ricevuto i fondi. Secondo CertiK, una catena peel "è una tecnica di riciclaggio di denaro in base alla quale BTC viene inviato attraverso una serie di transazioni in cui quantità minori di BTC vengono trasferite a un nuovo indirizzo".
Più recentemente, lunedì, l'hacker ha trasferito 180k ETH a 12 nuovi indirizzi Ethereum e ogni indirizzo contiene attualmente 15k ETH. Il portafoglio FTX Accounts Drainer ha solo 5.735 ETH (o $ 6,2 milioni) rimasti. Le speculazioni sono che gli hacker potrebbero tentare di collegare le monete alla blockchain di Bitcoin per un'altra catena di buccia.