Alcune ore dopo la dichiarazione di fallimento di FTX , circa 600 milioni di dollari in diversi token crittografici sono stati spostati in modo non autorizzato dai conti dell'exchange, la maggior parte dei quali è stato confermato essere stata rubata da un attore sconosciuto. Sebbene l'exploit rimanga un mistero, i rapporti e le informazioni sulla catena tendono a suggerire che l'autore del reato potrebbe essere qualcuno vicino all'exchange, forse Sam Bankman-Fried (SBF).
Chi si nasconde dietro il portafoglio prosciuga conti FTX?
In una mozione di emergenza presentata il 17 novembre, gli avvocati di FTX hanno accusato Sam Bankman-Fried e il co-fondatore di FTX Gary Wang di aver spostato in modo non autorizzato fondi dall'exchange in bancarotta, secondo la direttiva dell'autorità di regolamentazione delle Bahamas. Gli avvocati hanno affermato di avere prove che i regolatori delle Bahamas hanno diretto "l'accesso non autorizzato ai sistemi dei debitori allo scopo di ottenere risorse digitali dei debitori".
La Securities Commission delle Bahamas ha confermato di aver ordinato lo spostamento di alcuni asset digitali controllati dalla filiale locale dell'exchange FTX, FTX Digital Markets (FDM) , a un indirizzo separato controllato dalla commissione. Ciò è avvenuto il 12 novembre, un giorno dopo la dichiarazione di fallimento di FTX, ma la commissione ha spiegato di aver emesso quell'azione di emergenza per la custodia dei beni e per proteggere gli interessi di tutti i clienti e creditori di FDM.
Anche se non è chiaro se i fondi spostati dalla SBF e dall'autorità di regolamentazione delle Bahamas facciano parte dei 600 milioni di dollari rubati a FTX, le informazioni sulla catena suggeriscono che probabilmente non è così, dato il mezzo sofisticato con cui le criptovalute rubate vengono spostate attraverso le blockchain. Ma ciò che resta evidente è che lo sfruttamento di FTX potrebbe essere un “lavoro interno”.
Lookonchain ha rilevato un coordinamento nel modello di scambio tra l'indirizzo hacker di FTX, attualmente contrassegnato come "FTX Accounts Drainer" su Etherscan, e un altro Ethereum "0xd275", coinvolto nell'appropriazione indebita di fondi degli utenti, come confermato da un ex ingegnere senior di FTX, Vydamo.
Due giorni prima che FTX sospendesse i prelievi, 0xd275 ha iniziato a effettuare trasferimenti ETH su larga scala sulla catena, cosa che secondo Lookonchain non è mai avvenuta dalla creazione dell'indirizzo. "L'ora coincide con il momento in cui l'exchange FTX ha sospeso i prelievi degli utenti", ha affermato la piattaforma di ricerca on-chain.
Ciò che affascina di più è la correlazione tra gli indirizzi. 0xd275 trasferirebbe fondi agli scambi - probabilmente per shortare ETH - alcuni minuti prima che FTX Accounts Drainers scaricassero ETH.
Il tempo di transazione di 0xd275 è molto coerente con FTX Accounts Drainer, sembra che sia la stessa persona ad operare. Quando 0xd275 interrompe le negoziazioni, FTX Accounts Drainer inizia a fare trading; e quando FTX Accounts Drainer interrompe le negoziazioni, 0xd275 riprende le negoziazioni.
Guardaonchain
Questa coincidenza suggerisce che l'hacker o qualcuno a conoscenza delle attività di FTX Accounts Drainer potrebbe anche avere il controllo di 0xd275, che è già stato certificato essere di proprietà di qualcuno vicino a FTX. Pertanto, è plausibile che qualcuno di FTX – potrebbe essere SBF – possa aver drenato fondi dall’exchange.
L'hacker FTX sta cercando di riciclare fondi
FTX è stato prosciugato sia sulle Ethereum che Binance . In più transazioni, tutte le criptovalute rubate sono state scambiate tramite protocolli decentralizzati su Ether (ETH) contenuto nel portafoglio principale di Ethereum . Dopo diverse conversioni e asset bridge, l'indirizzo ha accumulato circa 288.000 ETH, rendendo l'hacker il 35° detentore Ethereum
Ma negli ultimi giorni gli hacker hanno ricominciato a collegare l'Ether rubato, ma al Bitcoin blockchain , in quello che si ritiene essere un tentativo di riciclaggio. Proprio il 20 novembre, l'FTX Accounts Drainer ha spostato 50k ETH su un indirizzo univoco 0x866E, che è stato successivamente scambiato con renBTC e collegato a Bitcoin .
Uno degli indirizzi BTC – “Bc1qv…gpedg” – che ha ricevuto Bitcoin in bridge dall’hacker FTX, ha avviato una catena di peel poco dopo aver ricevuto i fondi. Secondo CertiK, la peel chain "è una tecnica di riciclaggio di denaro in base alla quale BTC viene inviato attraverso una serie di transazioni in cui quantità minori di BTC vengono trasferite a un nuovo indirizzo".
Più recentemente, lunedì, l'hacker ha trasferito 180.000 ETH a 12 nuovi indirizzi Ethereum e ciascun indirizzo attualmente detiene 15.000 ETH. Sul portafoglio FTX Accounts Drainer restano solo 5.735 ETH (o 6,2 milioni di dollari). Le speculazioni sono che gli hacker potrebbero tentare di collegare le monete alla blockchain Bitcoin per un'altra catena di peel.
