¿Quién hackeó FTX? Los últimos descubrimientos en cadena dan un giro inesperado

La plataforma de intercambio de criptomonedas, que se encontraba en problemas, fue hackeada el 12 de noviembre, apenas horas después de declararse en bancarrota voluntaria (Capítulo 11). El director ejecutivo de FTX, John J. Ray III, afirmó en un documento fechado el 17 de noviembre que una persona nodenttransfirió al menos 372 millones de dólares de FTX a una billetera externa.

En el canal oficial de Telegram de FTX, un administrador llamado Rey publicó: "Parece que todos los fondos se han ido"

En reacción al hackeo, los fondos comenzaron a salir de FTX a través de una segunda billetera que estaba vinculada a una cuenta verificada de "conozca a su cliente" en el intercambio de criptomonedas Kraken. 

Sam Bankman-Fried, exdirector ejecutivo de FTX, operaba esta billetera y transfería fondos a petición del regulador para "proteger los intereses de clientes y acreedores", según un informe posterior de la Comisión de Valores de las Bahamas. Esto impidió que el primer hacker robara fondos por un valor estimado de 200 millones de dólares.

Técnica de explotación de FTX

la primera billetera, perteneciente a un hacker malicioso, comenzó a convertir los activos robados en Ethereum, la stablecoin DAI de MakerDAO y BNB Chain, transfiriendo simultáneamente fondos a través de varios puentes de tokens entre cadenas. El atacante probablemente actuó así para evitar que le congelaran sus ganancias ilícitas. 

Lo que muchos desconocen es que las monedas estables como USDC y USDT incluyen mecanismos integrados de congelamiento y lista negra que permiten a sus respectivos emisores detener transacciones y confiscar cash.

El hacker perdió miles de dólares debido a un deslizamiento significativo al intercambiar rápidamente grandes cantidades de tokens, ya que la velocidad era crucial. Este simple aspecto sugiere que esta billetera probablemente no esté bajo la jurisdicción de las autoridades bahameñas, quienes buscarían proteger los activos en beneficio de los acreedores de FTX. Solo un mal operador permitiría deliberadamente que las transacciones caduquen para evitar la incautación de activos.

Antes de enviar el dinero a la plataforma de intercambio Huobi, el hacker también envió 3168 BNB a una cuenta vinculada a una pequeña plataforma de intercambio de criptomonedas rusa llamada Laslobit. Respecto al resto del tesoro, el 20 de noviembre, el hacker comenzó a intercambiar ETH por renBTC encapsulados y a transmitirlos a través del puente Ren a la Bitcoin tras unos días de inactividad.

 A continuación, el hacker probablemente empleará un servicio de mezcla Bitcoin para cortar la cadena de custodia del fondo. Además, comenzó a vender ETH, lo que provocó una caída en el valor de la segunda criptomoneda más importante. El 21 de noviembre, comenzaron a mover ETH adicionales en lotes de 15 000 tokens, lo que generó preocupación de que pudieran estar preparándose para vender otra parte de sus reservas.

Nuevo giro en el hacker de FTX

Según un expediente judicial del 17 de noviembre, inicialmente se afirmó que Bankman-Fried, actuando en nombre del gobierno bahameño, fue el hacker original de FTX. Sin embargo, datos más exhaustivos en cadena y pistas proporcionadas en documentos judiciales por John J. Ray III y funcionarios bahameños han puesto en duda esta teoría.

Ahora parece que la segunda dirección enviaba fondos desde FTX para proteger los activos restantes del exchange. Es importante destacar que estas dos billeteras se comportan de maneras muy distintas. La segunda simplemente transfirió tokens a una billetera multifirma, mientras que la primera comenzó a operar, conectar y blanquear activos.

Aún no se sabe con certeza cómo se hackeó FTX. Algunos han planteado la hipótesis de que el hacker podría haber sido un exempleado descontento que tuvo acceso a las cuentas de FTX, basándose en que el ataque ocurrió inmediatamente después de la quiebra de la empresa.

Sin embargo, también es posible que alguien ajeno a FTX aprovechara la inestabilidad de la empresa para lanzar un ataque. Podría haberlo hecho induciendo al personal a leer correos electrónicos con malware mientras desconcertaban a la empresa por la quiebra. Este método se ha empleado en ataques de alto perfil anteriores atribuidos al grupo de hackers norcoreano Lazarus Group.

Probablemente surgirán más detalles sobre cómo se hackeó el exchange y quién es el culpable a medida que se desarrolle el caso de quiebra de FTX.