Является ли SBF источником утечки средств из FTX?

Спустя несколько часов после объявления FTX о банкротстве , около 600 миллионов долларов в различных криптовалютных токенах были несанкционированно выведены со счетов биржи, большая часть которых, как подтверждено, была украдена неизвестным лицом. Хотя причина утечки остается загадкой, сообщения и информация из блокчейна указывают на то, что этим злоумышленником мог быть кто-то из окружения биржи — возможно, Сэм Бэнкман-Фрид (SBF).

Кто стоит за кошельком, истощающим учетные записи FTX?

В экстренном ходатайстве, поданном 17 ноября, юристы FTX обвинили Сэма Бэнкмана-Фрида и соучредителя FTX Гэри Вана в несанкционированном перемещении средств с обанкротившейся биржи по указанию багамского регулятора. Юристы утверждали, что у них есть доказательства того, что багамские регуляторы распорядились о «несанкционированном доступе к системам должников с целью получения цифровых активов должников».

Комиссия по ценным бумагам Багамских островов подтвердила, что распорядилась перевести часть цифровых активов, контролируемых местной дочерней компанией биржи FTX, FTX Digital Markets (FDM) , на отдельный адрес, находящийся в ведении комиссии. Это произошло 12 ноября, на следующий день после объявления FTX о банкротстве, но комиссия пояснила, что приняла это экстренное решение для обеспечения сохранности активов и защиты интересов всех клиентов и кредиторов FDM.

Комиссия по ценным бумагам Багамских островов взяла под контроль активы FTX Digital Markets Ltd. pic.twitter.com/IzW4PGZSJm

— Комиссия по ценным бумагам Багамских островов (@SCBgov_bs) 18 ноября 2022 г

Хотя пока неясно, являются ли средства, перемещенные SBF и багамским регулятором, частью более крупной суммы в 600 миллионов долларов, украденной у FTX, информация из блокчейна предполагает, что это, вероятно, не так, учитывая сложную систему, с помощью которой украденные криптовалюты перемещаются между блокчейнами. Но очевидно, что эксплуатация FTX может быть «делом, совершенным инсайдерами»

Lookonchain обнаружил координацию в торговых операциях между хакерским адресом FTX, в настоящее время помеченным как «FTX Accounts Drainer» на Etherscan, и еще одним адресом Ethereum «0xd275», который был замешан в присвоении средств пользователей, что подтвердил бывший старший инженер FTX, Vydamo.

За два дня до того, как FTX приостановила вывод средств, 0xd275 начал проводить масштабные переводы ETH в блокчейне, чего, по данным Lookonchain, никогда не происходило с момента создания адреса. «Это совпадает по времени с моментом, когда биржа FTX приостановила вывод средств пользователями», — заявила исследовательская платформа. 

Больше всего поражает корреляция между адресами. Адрес 0xd275, вероятно, использовался для перевода средств на биржи — скорее всего, для короткой продажи ETH — за несколько минут до того, как мошенники, выкачивающие средства с FTX, сбросили ETH. 

5.

21 ноября 0xd275 занял 80 миллионов $USDC у #Aave и перевел их на биржу.

Через 20 минут FTX Accounts Drainer продал 15 000 $ETH за renBTC.

Похоже, 0xd275 отправился на биржу, чтобы открыть короткую позицию Aave $ETH . pic.twitter.com/Lb12MGce8m

— Lookonchain (@lookonchain) 22 ноября 2022 г

Время совершения транзакции 0xd275 очень точно совпадает с временем транзакции FTX Accounts Drainer, похоже, что этим занимается один и тот же человек. Когда 0xd275 прекращает торговлю, FTX Accounts Drainer начинает торговлю; и когда FTX Accounts Drainer прекращает торговлю, 0xd275 возобновляет торговлю.

Lookonchain

Это совпадение позволяет предположить, что хакер или кто-то, осведомленный о деятельности FTX Accounts Drainer, также может контролировать 0xd275, который, как уже было подтверждено, принадлежит кому-то из окружения FTX. Таким образом, вполне вероятно, что кто-то из FTX — возможно, SBF — мог вывести средства с биржи.

7.

12 ноября, через 2 часа после остановки торгов по 0xd275, FTX Accounts Drainer начал красть активы с биржи FTX и продавать их.

В 7:34:23 FTX Accounts Drainer прекратил продажи.

А через полчаса 0xd275 возобновил торги.

Какое совпадение! pic.twitter.com/AqlgTC3jyc

— Lookonchain (@lookonchain) 22 ноября 2022 г

Хакер, взломавший FTX, пытается отмыть средства

В сети Ethereum и Binance были украдены средства с FTX. В ходе многочисленных транзакций все украденные криптовалюты были обменяны через децентрализованные протоколы на Ether (ETH), хранившийся в основном кошельке Ethereum . После нескольких конвертаций и мостов активов на адресе накопилось около 288 000 ETH, что сделало хакера 35-м крупнейшим держателем Ethereum на тот момент. 

#PeckShieldAlert FTX Accounts Drainer обменял 48,27 млн ​​$DAI (~48,36 млн $) на 37,57 тыс. $ETH (~47,69 млн $) на Ethereum
Произвольный убыток: -671 424,25 $.
В настоящее время FTX Accounts Drainer владеет 228 523,83 $ETH (~288 млн $), что делает этот адрес 35-м крупнейшим держателем ETH. pic.twitter.com/8oukNomdDf

— PeckShieldAlert (@PeckShieldAlert) 15 ноября 2022 г

Однако в последние дни хакеры снова начали переводить украденный эфир на блокчейн Bitcoin , что, как полагают, является попыткой отмывания денег. В частности, 20 ноября FTX Accounts Drainer перевел 50 000 ETH на уникальный адрес 0x866E, который позже был обменен на renBTC и переведен на Bitcoin.

Один из BTC-адресов – «Bc1qv…gpedg» – на который хакер FTX перевел Bitcoinчерез мост, вскоре после получения средств запустил цепочку отмывания денег (peel chain). По данным CertiK, цепочка отмывания денег – это «метод отмывания денег, при котором BTC переводятся через серию транзакций, в ходе которых меньшие суммы BTC переводятся на новый адрес»

В понедельник хакер перевел 180 000 ETH на 12 новых адресов Ethereum , и на каждом из них сейчас находится 15 000 ETH. В кошельке FTX Accounts Drainer осталось всего 5735 ETH (или 6,2 миллиона долларов). Предполагается, что хакеры могут пытаться соединить эти монеты с блокчейном Bitcoin для создания еще одной цепочки обмена.