Chi ha hackerato FTX? Le ultime intuizioni on-chain creano una nuova svolta

L'exchange di criptovalute in difficoltà è stato hackerato il 12 novembre, poche ore dopo aver dichiarato bancarotta volontaria ai sensi del Capitolo 11. Il CEO di FTX, John J. Ray III, ha affermato in un documento datato 17 novembre che una parte nondentha trasferito almeno 372 milioni di dollari da FTX a un portafoglio esterno.

Sul canale Telegram ufficiale di FTX, un amministratore di nome Rey ha scritto: "Sembra che tutti i fondi siano spariti"

In risposta all'attacco informatico, i fondi hanno iniziato a lasciare FTX tramite un secondo portafoglio collegato a un account verificato "know-your-customer" sull'exchange di criptovalute Kraken. 

Sam Bankman-Fried, ex CEO di FTX, gestiva questo portafoglio e trasferiva fondi su richiesta dell'autorità di regolamentazione per "proteggere gli interessi di clienti e creditori", secondo un successivo documento della Securities Commission delle Bahamas. Questo ha impedito al primo hacker di rubare fondi per un valore stimato di 200 milioni di dollari.

Tecnica di sfruttamento FTX

Il primo portafoglio, ritenuto opera di un cosiddetto hacker "black hat" con intenti malevoli, ha iniziato a convertire i beni rubati in EthereumBNBBNB BNBBNBBNBBNB BNBBNB Chain, trasferendo contemporaneamente fondi attraverso diversi bridge di token cross-chain. L'attaccante ha probabilmente agito in questo modo per evitare il congelamento dei suoi guadagni illeciti. 

Sconosciuto a molti, le stablecoin come USDC e USDT includono meccanismi integrati di congelamento e di blacklist che consentono ai rispettivi emittenti di interrompere le transazioni e sequestrare cash.

L'hacker ha perso migliaia di dollari a causa di significativi ritardi dovuti allo scambio rapido di un gran numero di token, poiché la velocità era essenziale. Questo aspetto da solo suggerisce che questo portafoglio probabilmente non rientra nella giurisdizione delle autorità delle Bahamas, che cercherebbero di proteggere i beni per il bene dei creditori di FTX. Solo un operatore poco efficiente lascerebbe scadere deliberatamente le transazioni per evitare il sequestro dei beni.

Prima di inviare il denaro all'exchange Huobi, l'hacker ha anche inviato 3.168 BNB a un conto collegato a un piccolo exchange di criptovalute russo chiamato Laslobit. Per quanto riguarda il tesoro rimanente, il 20 novembre l'hacker ha iniziato a scambiare ETH con wrapped renBTC e a trasmetterlo attraverso il ponte Ren alla Bitcoin dopo essere rimasto inattivo per alcuni giorni.

 Successivamente, l'hacker probabilmente utilizzerà un servizio di mixing Bitcoin per interrompere la catena di custodia del fondo. Inoltre, l'hacker ha iniziato a vendere ETH, il che ha portato a un calo del valore della seconda criptovaluta in classifica. Il 21 novembre, ha iniziato a spostare ulteriori ETH in lotti da 15.000 token, il che ha sollevato il timore che si stessero preparando a vendere un'altra parte del loro patrimonio.

Nuova svolta per l'hacker di FTX

Secondo un documento depositato in tribunale il 17 novembre, inizialmente si affermava che Bankman-Fried, agendo per conto del governo delle Bahamas, fosse l'hacker originale di FTX. Tuttavia, dati on-chain più approfonditi e indizi forniti nei documenti giudiziari da John J. Ray III e da funzionari delle Bahamas hanno messo in discussione questa teoria.

Ora sembra che il secondo indirizzo stesse effettivamente inviando fondi da FTX per salvaguardare gli asset rimanenti dell'exchange. È importante notare che questi due wallet si comportano in modi notevolmente diversi. Il secondo wallet ha semplicemente spostato i token su un wallet multi-firma, mentre il primo wallet ha iniziato a negoziare, scambiare token e riciclare asset.

Non è ancora chiaro come sia stato hackerato FTX. Alcuni hanno ipotizzato che l'hacker potrebbe essere stato un ex dipendente scontento che aveva accesso agli account di FTX, basandosi sulla tempistica dell'attacco, subito dopo il fallimento dell'azienda.

Tuttavia, è anche possibile che qualcuno estraneo a FTX abbia sfruttato l'instabilità dell'azienda per lanciare un attacco. Potrebbe averlo fatto inducendo il personale a leggere email contenenti malware mentre erano confusi riguardo al fallimento dell'azienda. Questo metodo è stato impiegato in precedenti attacchi informatici di alto profilo attribuiti al gruppo di hacker nordcoreano Lazarus Group.

Maggiori dettagli su come è stato hackerato l'exchange e su chi è il colpevole emergeranno probabilmente man mano che si svilupperà il caso di bancarotta di FTX.