Quelques heures après la faillite de FTX , environ 600 millions de dollars de différents jetons cryptographiques ont été déplacés sans autorisation des comptes de la bourse, dont la majorité a été confirmée comme ayant été volée par un acteur inconnu. Bien que l'exploit reste un mystère, les rapports et les informations sur la chaîne tendent à suggérer que l'auteur pourrait être une personne proche de l'échange - peut-être Sam Bankman-Fried (SBF).
Qui se cache derrière le portefeuille égouttoir de comptes FTX ?
Dans une requête d'urgence déposée le 17 novembre, les avocats de FTX ont accusé Sam Bankman-Fried et le co-fondateur de FTX, Gary Wang, d'avoir déplacé sans autorisation des fonds de l'échange en faillite, sous la directive du régulateur bahamien. Les avocats ont affirmé avoir la preuve que les régulateurs bahamiens avaient ordonné "l'accès non autorisé aux systèmes des débiteurs dans le but d'obtenir les actifs numériques des débiteurs".
La Securities Commission des Bahamas a confirmé qu'elle avait ordonné le transfert de certains actifs numériques contrôlés par la filiale locale de la bourse FTX, FTX Digital Markets (FDM) , vers une adresse distincte contrôlée par la commission. Cela s'est produit le 12 novembre, un jour après la déclaration de faillite de FTX, mais la commission a expliqué qu'elle avait émis cette action d'urgence pour la garde des actifs et pour protéger les intérêts de tous les clients et créanciers de FDM.
Bien qu'il ne soit pas certain que les fonds déplacés par le SBF et le régulateur bahamien fassent partie des 600 millions de dollars volés à FTX, les informations sur la chaîne suggèrent que ce n'est probablement pas le cas, étant donné le support sophistiqué avec lequel les crypto-monnaies volées sont déplacées à travers les chaînes de blocs. Mais ce qui reste évident, c'est que l'exploitation de FTX pourrait être un "travail d'initié".
Lookonchain a détecté une coordination dans le modèle d'échange entre l'adresse de pirate informatique de FTX, actuellement signalée comme "FTX Accounts Drainer" sur Etherscan, et une autre Ethereum "0xd275", qui a été impliquée dans le détournement de fonds d'utilisateurs, comme l'a confirmé un ancien ingénieur principal chez FTX, Vydamo.
Deux jours avant que FTX ne suspende les retraits, 0xd275 a commencé à effectuer des transferts ETH à grande échelle en chaîne, ce qui, selon Lookonchain, ne s'est jamais produit depuis la création de l'adresse. "Le moment coïncide avec le moment où l'échange FTX a suspendu les retraits des utilisateurs", a déclaré la plateforme de recherche en chaîne.
Ce qui fascine le plus, c'est la corrélation entre les adresses. 0xd275 transférerait des fonds vers des échanges – probablement pour court-circuiter l'ETH – quelques minutes avant que FTX Accounts Drainers ne vide l'ETH.
Le temps de transaction de 0xd275 est très cohérent avec FTX Accounts Drainer, il semble que la même personne opère. Lorsque 0xd275 cesse de négocier, FTX Accounts Drainer commence à négocier; et lorsque FTX Accounts Drainer cesse de négocier, 0xd275 reprend la négociation.
Rechercher sur la chaîne
Cette coïncidence suggère que le pirate informatique ou une personne connaissant les activités du FTX Accounts Drainer pourrait également contrôler 0xd275, qui a déjà été attesté être la propriété d'une personne proche de FTX. En tant que tel, il est plausible que quiconque de FTX – il pourrait s'agir de SBF – ait pu drainer des fonds de l'échange.
Le pirate FTX tente de blanchir des fonds
FTX a été drainé sur les Ethereum et Binance . Dans plusieurs transactions, toutes les crypto-monnaies volées ont été échangées via des protocoles décentralisés vers Ether (ETH) contenus dans le portefeuille Ethereum Après plusieurs conversions et ponts d'actifs, l'adresse a accumulé environ 288 000 ETH, faisant alors du pirate le 35e plus grand détenteur Ethereum
Mais ces derniers jours, les pirates ont recommencé à relier l'Ether volé, mais au Bitcoin blockchain , dans ce que l'on pense être une tentative de blanchiment. Précisément le 20 novembre, le FTX Accounts Drainer a déplacé 50k ETH vers une adresse unique 0x866E, qui a ensuite été échangée contre renBTC et reliée à Bitcoin .
L'une des adresses BTC - "Bc1qv… gpedg" - qui a reçu des Bitcoin pontés du pirate FTX, a lancé une chaîne de peeling peu de temps après avoir reçu les fonds. Selon CertiK, une chaîne de peeling "est une technique de blanchiment d'argent par laquelle le BTC est envoyé via une série de transactions dans lesquelles de plus petites quantités de BTC sont transférées vers une nouvelle adresse".
Plus récemment, lundi, le pirate a transféré 180 000 ETH vers 12 nouvelles adresses Ethereum , et chaque adresse contient actuellement 15 000 ETH. Le portefeuille FTX Accounts Drainer n'a plus que 5 735 ETH (ou 6,2 millions de dollars). Les spéculations sont que les pirates pourraient tenter de relier les pièces à la blockchain Bitcoin pour une autre chaîne de peeling.
