Является ли SBF источником утечки средств из FTX?

Спустя несколько часов после объявления FTX о банкротстве, с биржевых счетов было несанкционированно выведено около 600 миллионов долларов в различных криптовалютных токенах, большая часть которых, как подтверждено, была украдена неизвестным лицом. Хотя причина утечки остается загадкой, сообщения и информация из блокчейна указывают на то, что этим злоумышленником мог быть кто-то из окружения биржи — возможно, Сэм Бэнкман-Фрид (SBF). 

Кто стоит за кошельком, истощающим учетные записи FTX?

В экстренном ходатайстве, поданном 17 ноября, юристы FTX обвинили Сэма Бэнкмана-Фрида и соучредителя FTX Гэри Вана в несанкционированном перемещении средств с обанкротившейся биржи по указанию багамского регулятора. Юристы утверждали, что у них есть доказательства того, что багамские регуляторы распорядились о «несанкционированном доступе к системам должников с целью получения цифровых активов должников». 

Комиссия по ценным бумагам Багамских островов подтвердила, что распорядилась перевести часть цифровых активов, контролируемых местной дочерней компанией биржи FTX, FTX Digital Markets (FDM), на отдельный адрес, находящийся в ведении комиссии. Это произошло 12 ноября, на следующий день после объявления FTX о банкротстве, но комиссия пояснила, что приняла это экстренное решение для обеспечения сохранности активов и защиты интересов всех клиентов и кредиторов FDM.

Хотя пока неясно, являются ли средства, перемещенные SBF и багамским регулятором, частью более крупной суммы в 600 миллионов долларов, украденной у FTX, информация из блокчейна предполагает, что это, вероятно, не так, учитывая сложную систему, с помощью которой украденные криптовалюты перемещаются между блокчейнами. Но очевидно, что эксплуатация FTX может быть «делом, совершенным инсайдерами»

Lookonchain обнаружил координацию в торговых операциях между хакерским адресом FTX, в настоящее время помеченным как «FTX Accounts Drainer» на Etherscan, и еще одним адресом Ethereum «0xd275», который был замешан в присвоении средств пользователей, что подтвердил бывший старший инженер FTX, Vydamo.

За два дня до того, как FTX приостановила вывод средств, 0xd275 начал проводить масштабные переводы ETH в блокчейне, чего, по данным Lookonchain, никогда не происходило с момента создания адреса. «Это совпадает по времени с моментом, когда биржа FTX приостановила вывод средств пользователями», — заявила исследовательская платформа. 

Больше всего поражает корреляция между адресами. Адрес 0xd275, вероятно, использовался для перевода средств на биржи — скорее всего, для короткой продажи ETH — за несколько минут до того, как мошенники, выкачивающие средства с FTX, сбросили ETH. 

Время совершения транзакции 0xd275 очень точно совпадает с временем транзакции FTX Accounts Drainer, похоже, что этим занимается один и тот же человек. Когда 0xd275 прекращает торговлю, FTX Accounts Drainer начинает торговлю; и когда FTX Accounts Drainer прекращает торговлю, 0xd275 возобновляет торговлю.

Lookonchain

Это совпадение позволяет предположить, что хакер или кто-то, осведомленный о деятельности FTX Accounts Drainer, также может контролировать 0xd275, который, как уже было подтверждено, принадлежит кому-то из окружения FTX. Таким образом, вполне вероятно, что кто-то из FTX — возможно, SBF — мог вывести средства с биржи.

Хакер, взломавший FTX, пытается отмыть средства

В сети Ethereum и Binance были украдены средства с FTX. В ходе многочисленных транзакций все украденные криптовалюты были обменяны через децентрализованные протоколы на Ether (ETH), хранившийся в основном кошельке Ethereum . После нескольких конвертаций и мостов активов на адресе накопилось около 288 000 ETH, что сделало хакера 35-м крупнейшим держателем Ethereum на тот момент. 

Однако в последние дни хакеры снова начали переводить украденный эфир на блокчейн Bitcoin , что, как полагают, является попыткой отмывания денег. В частности, 20 ноября FTX Accounts Drainer перевел 50 000 ETH на уникальный адрес 0x866E, который позже был обменен на renBTC и переведен на Bitcoin.

Один из BTC-адресов – «Bc1qv…gpedg» – на который хакер FTX перевел Bitcoinчерез мост, вскоре после получения средств запустил цепочку отмывания денег (peel chain). По данным CertiK, цепочка отмывания денег – это «метод отмывания денег, при котором BTC переводятся через серию транзакций, в ходе которых меньшие суммы BTC переводятся на новый адрес»

В понедельник хакер перевел 180 000 ETH на 12 новых адресов Ethereum , и на каждом из них сейчас находится 15 000 ETH. В кошельке FTX Accounts Drainer осталось всего 5735 ETH (или 6,2 миллиона долларов). Предполагается, что хакеры могут пытаться соединить эти монеты с блокчейном Bitcoin для создания еще одной цепочки обмена.