Qui a piraté FTX ? Les dernières analyses on-chain révèlent un nouveau rebondissement.

La plateforme d'échange de cryptomonnaies en difficulté a été piratée le 12 novembre, quelques heures seulement après avoir déclaré faillite volontaire (Chapitre 11). Le PDG de FTX, John J. Ray III, a affirmé dans un document daté du 17 novembre qu'une personne nondentavait transféré au moins 372 millions de dollars de FTX vers un portefeuille externe.

Sur la chaîne Telegram officielle de FTX, un administrateur du nom de Rey a posté : « Il semble que tous les fonds aient disparu. »

En réaction au piratage, des fonds ont commencé à quitter FTX via un deuxième portefeuille lié à un compte vérifié « connaisse votre client » sur la plateforme d'échange de cryptomonnaies Kraken. 

Sam Bankman-Fried, l'ancien PDG de FTX, gérait ce portefeuille et effectuait des transferts de fonds à la demande de l'autorité de régulation afin de « protéger les intérêts des clients et des créanciers », selon un document ultérieur de la Commission des valeurs mobilières des Bahamas. Cette mesure a empêché le premier pirate informatique de dérober environ 200 millions de dollars.

technique d'exploitation FTX

Le premier portefeuille, vraisemblablement celui d'un pirate informatique malveillant, a commencé à convertir des actifs volés en EthereumBNBBNB BNBBNBBNBBNB BNBBNB Chain, tout en transférant simultanément des fonds via plusieurs passerelles inter-chaînes. L'attaquant a probablement agi ainsi pour éviter le gel de ses gains illégaux. 

Ce que beaucoup ignorent, c'est que les stablecoins comme l'USDC et l'USDT incluent des mécanismes intégrés de gel et de liste noire qui permettent à leurs émetteurs respectifs d'interrompre les transactions et de saisir cash.

Le pirate a perdu des milliers de dollars suite à un important glissement de cours dû à des échanges rapides d'un grand nombre de jetons, la rapidité étant primordiale. Ce seul élément laisse supposer que ce portefeuille n'est probablement pas sous la juridiction des autorités bahaméennes, qui chercheraient à protéger les actifs pour le compte des créanciers de FTX. Seul un opérateur mal intentionné laisserait délibérément des transactions expirer afin d'éviter la saisie de ses actifs.

Avant d'envoyer l'argent sur la plateforme Huobi, le pirate a également transféré 3 168 BNB vers un compte lié à Laslobit, une petite plateforme russe d'échange de cryptomonnaies. Concernant le reste du butin, le 20 novembre, transférer via le pont Ren vers le Bitcoin après une période d'inactivité de quelques jours,

 Ensuite, le pirate utilisera probablement un service de mixage Bitcoin pour rompre la chaîne de traçabilité des fonds. Par ailleurs, il a commencé à vendre de l'ETH, ce qui a entraîné une baisse de la valeur de la deuxième cryptomonnaie la plus importante. Le 21 novembre, il a commencé à transférer des ETH supplémentaires par lots de 15 000 jetons, ce qui a fait craindre qu'il ne se prépare à vendre une autre partie de ses réserves.

Nouvelle variante du hacker FTX

Selon un document judiciaire du 17 novembre, il avait été initialement affirmé que Bankman-Fried, agissant pour le compte du gouvernement bahaméen, était le pirate informatique initial de FTX. Cependant, des données on-chain plus complètes et des indices fournis dans des documents judiciaires par John J. Ray III et des responsables bahaméens ont remis en question cette théorie.

Il apparaît désormais que la seconde adresse envoyait en réalité des fonds hors de FTX afin de protéger les actifs restants de la plateforme. Il est important de noter que ces deux portefeuilles fonctionnent de manière très différente. Le second portefeuille a simplement transféré des jetons vers un portefeuille multi-signatures, tandis que le premier a commencé à effectuer des transactions, à servir de pont et à blanchir des actifs.

On ignore encore précisément comment FTX a été piratée. Certains ont émis l'hypothèse qu'il pourrait s'agir d'un ancien employé mécontent ayant eu accès aux comptes de FTX, compte tenu du moment de l'attaque, survenue juste après la faillite de l'entreprise.

Toutefois, il est également possible qu'une personne extérieure à FTX ait profité de l'instabilité au sein de l'entreprise pour lancer une attaque. Elle aurait pu procéder en incitant des employés à lire des courriels infectés par des logiciels malveillants, alors qu'ils étaient désorientés par la faillite de la société. Cette méthode a déjà été employée lors de piratages informatiques de grande envergure attribués au groupe de pirates informatiques nord-coréen Lazarus Group, soutenu par l'État.

De plus amples détails sur la manière dont la plateforme a été piratée et sur les responsabilités des auteurs devraient probablement émerger au fur et à mesure de l'évolution de la procédure de faillite de FTX.