SBF è il prosciugatore di fondi FTX?

Poche ore dopo la dichiarazione di fallimento di FTX, circa 600 milioni di dollari in diverse criptovalute sono stati trasferiti senza autorizzazione dai conti dell'exchange, e la maggior parte di questi è stata rubata da un soggetto sconosciuto. Sebbene la natura dell'attacco rimanga un mistero, le segnalazioni e le informazioni on-chain suggeriscono che il responsabile potrebbe essere qualcuno vicino all'exchange, forse Sam Bankman-Fried (SBF). 

Chi c'è dietro il portafoglio FTX che svuota gli account?

In un'istanza d'urgenza presentata il 17 novembre, gli avvocati di FTX hanno accusato Sam Bankman-Fried e il co-fondatore di FTX, Gary Wang, di aver trasferito fondi senza autorizzazione dalla piattaforma di scambio fallita, su direttiva dell'autorità di regolamentazione delle Bahamas. Gli avvocati hanno affermato di possedere prove che dimostrerebbero che le autorità di regolamentazione delle Bahamas avrebbero ordinato "l'accesso non autorizzato ai sistemi dei debitori allo scopo di ottenere beni digitali dei debitori stessi". 

La Securities Commission delle Bahamas ha confermato di aver ordinato il trasferimento di alcuni asset digitali controllati dalla filiale locale dell'exchange FTX, FTX Digital Markets (FDM), a un indirizzo separato sotto il controllo della commissione stessa. Il trasferimento è avvenuto il 12 novembre, il giorno successivo alla dichiarazione di fallimento di FTX, ma la commissione ha spiegato di aver adottato tale provvedimento d'urgenza per la salvaguardia degli asset e per tutelare gli interessi di tutti i clienti e creditori di FDM.

Sebbene non sia certo se i fondi trasferiti dalla SBF e dall'autorità di regolamentazione delle Bahamas facciano parte dei 600 milioni di dollari rubati a FTX, le informazioni on-chain suggeriscono che probabilmente non lo siano, dato il sofisticato mezzo con cui le criptovalute rubate vengono trasferite attraverso le blockchain. Ciò che resta evidente, tuttavia, è che lo sfruttamento di FTX potrebbe essere un "lavoro interno"

Lookonchain ha rilevato un coordinamento nel modello di trading tra l'indirizzo hacker di FTX, attualmente contrassegnato come "FTX Accounts Drainer" su Etherscan, e un altro indirizzo Ethereum "0xd275", coinvolto nell'appropriazione indebita dei fondi degli utenti, come confermato da un ex Senior Engineer di FTX, Vydamo.

Due giorni prima che FTX sospendesse i prelievi, 0xd275 ha iniziato a effettuare trasferimenti di ETH su larga scala on-chain, cosa che, secondo Lookonchain, non si è mai verificata dalla creazione dell'indirizzo. "L'orario coincide con quello in cui l'exchange FTX ha sospeso i prelievi degli utenti", ha affermato la piattaforma di ricerca on-chain. 

Ciò che affascina di più è la correlazione tra gli indirizzi. 0xd275 trasferiva fondi agli exchange, probabilmente per vendere allo scoperto ETH, qualche minuto prima che gli FTX Accounts Drainers scaricassero ETH. 

L'orario di transazione di 0xd275 è molto coerente con quello di FTX Accounts Drainer, sembra che sia la stessa persona a operare. Quando 0xd275 interrompe le negoziazioni, FTX Accounts Drainer inizia a operare; e quando FTX Accounts Drainer interrompe le negoziazioni, 0xd275 riprende le negoziazioni.

Guarda sulla catena

Questa coincidenza suggerisce che l'hacker o qualcuno a conoscenza delle attività dell'FTX Accounts Drainer potrebbe avere il controllo anche di 0xd275, che è già stato garantito essere di proprietà di qualcuno vicino a FTX. Pertanto, è plausibile che qualcuno di FTX – potrebbe essere SBF – abbia prosciugato fondi dall'exchange.

L'hacker di FTX sta cercando di riciclare fondi

FTX è stato prosciugato sia sulle reti Ethereum che Binance . In molteplici transazioni, tutte le criptovalute rubate sono state scambiate tramite protocolli decentralizzati con Ether (ETH) contenuti nel portafoglio principale Ethereum . Dopo diverse conversioni e asset bridge, l'indirizzo ha accumulato circa 288.000 ETH, rendendo l'hacker il 35° detentore Ethereum . 

Ma negli ultimi giorni, gli hacker hanno ricominciato a collegare gli Ether rubati alla blockchain Bitcoin , in quello che si ritiene essere un tentativo di riciclaggio. Precisamente il 20 novembre, FTX Accounts Drainer ha spostato 50.000 ETH a un indirizzo univoco 0x866E, che è stato successivamente scambiato con renBTC e collegato a Bitcoin.

Uno degli indirizzi BTC – "Bc1qv…gpedg" – che ha ricevuto Bitcoinbridged" dall'hacker di FTX, ha avviato una peel chain poco dopo aver ricevuto i fondi. Secondo CertiK, una peel chain "è una tecnica di riciclaggio di denaro in cui BTC viene inviato attraverso una serie di transazioni in cui piccole quantità di BTC vengono trasferite a un nuovo indirizzo"

Lunedì scorso, l'hacker ha trasferito 180.000 ETH a 12 nuovi indirizzi Ethereum , e ogni indirizzo contiene attualmente 15.000 ETH. Il portafoglio Drainer di FTX Accounts ha ancora solo 5.735 ETH (pari a 6,2 milioni di dollari). Si ipotizza che gli hacker stiano tentando di collegare le monete alla blockchain Bitcoin per un'altra catena di peeling.