Den oroliga kryptovalutabörsen hackades den 12 november, bara timmar efter att kapitel 11 förklarats frivillig konkurs. VD för FTX John J. Ray III hävdade i ett domstolsdokument daterat den 17 november att en enhetlig dent överfört minst 372 miljoner USD från FTX till en extern plånbok.
På FTX:s officiella Telegram-kanal skrev en administratör vid namn Rey: "Alla pengar verkar vara borta."
Som reaktion på hacket började pengar lämna FTX genom en andra plånbok som var kopplad till ett vet-din-kund-verifierat konto på kryptobörsen Kraken.
Sam Bankman-Fried, tidigare VD för FTX, skötte denna plånbok och överförde pengar på tillsynsmyndighetens begäran för att "skydda kunders och borgenärers intressen", enligt en senare anmälan från Securities Commission of Bahamas. Detta stoppade den första hackaren från att stjäla medel till ett värde av uppskattningsvis 200 miljoner dollar.
FTX exploatörsteknik
Den första plånboken, som tros vara en så kallad "black hat" hacker som agerade illvilligt, började konvertera stulna tillgångar till Ethereum , MakerDAO:s DAI stablecoin och BNB Chains infödda token samtidigt som den överförde pengar över ett antal cross-chain token broar medan detta hände. Angriparen gjorde det troligen för att undvika att få sina illegala inkomster frysta.
Okänd för många, stablecoins som USDC och USDT inkluderar inbyggda frysnings- och svartlistmekanismer som låter deras respektive emittenter stoppa transaktioner och beslagta cash .
Hackaren förlorade tusentals dollar som ett resultat av betydande glidning från att snabbt byta ut ett stort antal tokens eftersom hastigheten var avgörande. Enbart denna aspekt tyder på att denna plånbok troligen inte ligger inom de bahamiska myndigheternas jurisdiktion, som skulle försöka skydda tillgångar för FTX:s borgenärers skull. Endast en dålig operatör skulle medvetet låta affärer förfalla för att undvika att tillgångar beslagtas.
Innan han skickade pengarna till Huobi-börsen skickade hackaren också 3 168 BNB till ett konto kopplat till en liten rysk kryptobörs som heter Laslobit. När det gäller den återstående skatten, den 20 november, började hackaren byta ut ETH mot inpackad renBTC och överföra den över Ren-bron till Bitcoin nätverket efter att ha varit inaktiv i några dagar.
Därefter kommer hackaren förmodligen att använda en Bitcoin blandningstjänst för att bryta fondens förvarskedja. Dessutom började hackaren handla ETH, vilket ledde till en nedgång i värdet på den andra rankade kryptovalutan. Den 21 november började de flytta ytterligare ETH i partier om 15 000 tokens, vilket väckte oro för att de kanske skulle göra sig redo att sälja ytterligare en del av sitt lager.
Ny twist på FTX hacker
Enligt en domstolsanmälan den 17 november uppgavs det ursprungligen att Bankman-Fried, som agerade på uppdrag av Bahamas regering, var den ursprungliga FTX-hackern. Mer omfattande data och ledtrådar i kedjan i domstolsdokument från John J. Ray III och tjänstemän från Bahamas har dock ifrågasatt denna teori.
Det verkar nu som att den andra adressen faktiskt skickade pengar från FTX för att skydda börsens återstående tillgångar. Det är viktigt att notera att dessa två plånböcker beter sig på anmärkningsvärt olika sätt. Den andra plånboken flyttade helt enkelt tokens till en plånbok med flera signaturer, medan den första plånboken började handla, överbrygga och tvätta tillgångar.
Det är fortfarande oklart exakt hur FTX hackades. Vissa har antagit att hackaren kan ha varit en missnöjd före detta anställd som hade tillgång till FTX:s konton baserat på tidpunkten för attacken direkt efter företagets konkurs.
Men det är också möjligt att någon som inte är relaterad till FTX använde instabiliteten i företaget för att starta en attack. De kan ha gjort detta genom att locka personal att läsa e-postmeddelanden med skadlig programvara medan de var förvirrade över företagets konkurs. Denna metod har använts i tidigare högprofilerade hacks som tillskrivits den nordkoreanska statssponsrade hackergruppen Lazarus Group.
Mer detaljer om hur börsen hackades och vem som är skyldig kommer troligen att dyka upp när konkursfallet för FTX utvecklas.
