Через несколько часов после того, как FTX объявила о банкротстве , около 600 миллионов долларов в различных криптотокенах были несанкционированно перемещены со счетов биржи, большинство из которых, как было подтверждено, были украдены неизвестным субъектом. Хотя эксплойт остается загадкой, отчеты и информация в сети, как правило, предполагают, что преступником может быть кто-то, близкий к бирже — возможно, Сэм Бэнкман-Фрид (SBF).
Кто стоит за кошельком для слива аккаунтов FTX?
В экстренном ходатайстве, поданном 17 ноября, адвокаты FTX обвинили Сэма Бэнкмана-Фрида и соучредителя FTX Гэри Ванга в несанкционированном переводе средств с обанкротившейся биржи в соответствии с директивой регулятора Багамских островов. Адвокаты утверждали, что у них есть доказательства того, что багамские регуляторы направляли «несанкционированный доступ к системам Должников с целью получения цифровых активов Должников».
Комиссия по ценным бумагам Багамских островов подтвердила, что приказала переместить некоторые цифровые активы, контролируемые местной дочерней компанией биржи FTX, FTX Digital Markets (FDM) , на отдельный адрес, контролируемый комиссией. Это произошло 12 ноября, на следующий день после объявления FTX о банкротстве, но комиссия объяснила, что она приняла это экстренное решение для сохранения активов и защиты интересов всех клиентов и кредиторов FDM.
Хотя неясно, являются ли средства, перемещенные SBF и регулятором Багамских островов, частью более крупных 600 миллионов долларов, украденных у FTX, информация в сети предполагает, что это, вероятно, не так, учитывая сложную среду, с помощью которой украденные криптовалюты перемещаются по блокчейнам. Но что остается очевидным, так это то, что эксплуатация FTX может быть «инсайдерской работой».
Lookonchain обнаружила координацию в схеме торговли между хакерским адресом FTX, который в настоящее время помечен как «Опустошитель учетных записей FTX» на Etherscan, и еще одним Ethereum «0xd275», который был причастен к незаконному присвоению средств пользователей, как подтвердил бывший старший инженер FTX. Выдамо.
За два дня до того, как FTX приостановил снятие средств, 0xd275 начал проводить крупномасштабные переводы ETH в сети, чего, по словам Lookonchain, никогда не было с момента создания адреса. «Время совпадает со временем, когда биржа FTX приостановила снятие средств пользователями», — говорится в сообщении исследовательской платформы.
Больше всего восхищает корреляция между адресами. 0xd275 будет переводить средства на биржи — вероятно, в шорт ETH — за несколько минут до того, как Drainers аккаунтов FTX сбрасывает ETH.
Время транзакции 0xd275 очень согласуется с FTX Accounts Drainer, кажется, что работает один и тот же человек. Когда 0xd275 перестает торговать, начинает торговлю FTX Accounts Drainer; и когда FTX Accounts Drainer прекращает торговлю, 0xd275 возобновляет торговлю.
Смотреть на цепочке
Это совпадение предполагает, что хакер или кто-то, кто знает о деятельности FTX Accounts Drainer, также может контролировать 0xd275, который, как уже было подтверждено, является собственностью кого-то, близкого к FTX. Таким образом, вполне вероятно, что кто-то из FTX — это может быть SBF — мог вывести средства с биржи.
Хакер FTX пытается отмыть деньги
FTX был слит в Ethereum и Binance . В ходе нескольких транзакций все украденные криптовалюты были обменены через децентрализованные протоколы на эфир (ETH), содержащийся в основном Ethereum . После нескольких преобразований и мостов активов адрес накопил около 288 тысяч ETH, что сделало хакера 35-м по величине Ethereum .
Но в последние дни хакеры снова начали перебрасывать украденный эфир, но уже в Bitcoin блокчейн , что считается попыткой отмывания денег. Ровно 20 ноября FTX Accounts Drainer переместил 50 000 ETH на уникальный адрес 0x866E, который позже был заменен на renBTC и подключен к Bitcoin .
Один из адресов BTC — «Bc1qv…gpedg», — который получил мостовые Bitcoin от хакера FTX, начал цепочку очистки вскоре после получения средств. Согласно CertiK, пилинг-цепочка — это «метод отмывания денег, при котором BTC отправляется через серию транзакций, в которых меньшие суммы BTC переводятся на новый адрес».
Совсем недавно, в понедельник, хакер перевел 180 тыс. ETH на 12 новых адресов Ethereum , и каждый адрес в настоящее время содержит 15 тыс. ETH. В кошельке FTX Accounts Drainer осталось всего 5735 ETH (или 6,2 миллиона долларов). Есть предположения, что хакеры могут попытаться подключить монеты к блокчейну Bitcoin для другой цепи очистки.