De onrustige cryptocurrency-uitwisseling was gehackt op 12 november, slechts enkele uren nadat Chapter 11 vrijwillig failliet was verklaard. CEO van FTX John J. Ray III beweerde in een rechtbank document gedateerd 17 november dat een niet-geïdentificeerde partij ten minste $ 372 miljoen van FTX naar een externe portemonnee heeft overgemaakt.
Op het officiële Telegram-kanaal van FTX plaatste een beheerder met de naam Rey: "Alle fondsen lijken op."
Als reactie op de hack begonnen fondsen FTX te verlaten via een tweede portemonnee die was gekoppeld aan een door uw klant geverifieerd account op de crypto-uitwisseling Kraken.
Sam Bankman-Fried, de voormalige CEO van FTX, beheerde deze portemonnee en maakte geld over op verzoek van de toezichthouder om "de belangen van klanten en crediteuren te beschermen", volgens een latere aanvraag van de Securities Commission van de Bahama's. Dit weerhield de eerste hacker ervan om naar schatting 200 miljoen dollar aan geld te stelen.
FTX exploiter-techniek
De eerste wallet, vermoedelijk een zogenaamde "black hat"-hacker die kwaadwillig handelde, begon gestolen activa om te zetten in Ethereum, MakerDAO's DAI stablecoin en het native token van BNB Chain terwijl tegelijkertijd geld over een aantal cross-chain token-bruggen werd overgemaakt terwijl dit gebeurde. De aanvaller deed dit waarschijnlijk om te voorkomen dat zijn illegale inkomsten zouden worden bevroren.
Onbekend bij velen, stablecoins zoals USDC en USDT bevatten ingebouwde bevriezings- en blacklist-mechanismen waarmee hun respectievelijke uitgevers transacties kunnen stoppen en contant geld kunnen innemen.
De hacker verloor duizenden dollars als gevolg van een aanzienlijke ontsporing van het snel verwisselen van grote aantallen tokens omdat snelheid van essentieel belang was. Dit aspect alleen al suggereert dat deze portemonnee waarschijnlijk niet onder de jurisdictie van de Bahamaanse autoriteiten valt, die zouden proberen activa te beschermen in het belang van de schuldeisers van FTX. Alleen een slechte operator zou opzettelijk deals laten vervallen om te voorkomen dat activa in beslag worden genomen.
Voordat u het geld naar de Huobi exchange, stuurde de hacker ook 3,168 BNB naar een account gekoppeld aan een kleine Russische crypto-exchange genaamd Laslobit. Wat de resterende schat betreft, begon de hacker op 20 november ETH in te wisselen voor verpakte renBTC en verzenden het over de Ren-brug naar het Bitcoin-netwerk na een paar dagen inactief te zijn geweest.
Vervolgens zal de hacker waarschijnlijk een Bitcoin-mixservice gebruiken om de bewakingsketen van het fonds te verbreken. Bovendien begon de hacker ETH te verkopen, wat leidde tot een daling van de waarde van de op de tweede plaats geplaatste cryptocurrency. Op 21 november begonnen ze met het verplaatsen van extra ETH in batches van 15,000 tokens, wat de bezorgdheid deed rijzen dat ze zich klaarmaakten om nog een deel van hun voorraad te verkopen.
Nieuwe draai aan FTX-hacker
Volgens een rechtszaak van 17 november werd oorspronkelijk verklaard dat Bankman-Fried, handelend namens de Bahamaanse regering, de oorspronkelijke FTX-hacker was. Meer uitgebreide on-chain gegevens en hints in gerechtelijke documenten van John J. Ray III en Bahamaanse functionarissen hebben deze theorie echter in twijfel getrokken.
Het lijkt er nu op dat het tweede adres daadwerkelijk geld uit FTX stuurde om de resterende activa van de beurs veilig te stellen. Het is belangrijk op te merken dat deze twee portefeuilles zich op opmerkelijk verschillende manieren gedragen. De tweede portemonnee verplaatste simpelweg tokens naar een portemonnee met meerdere handtekeningen, terwijl de eerste portemonnee begon met het verhandelen, overbruggen en witwassen van activa.
Het is nog steeds onduidelijk hoe FTX precies is gehackt. Sommigen hebben de hypothese geopperd dat de hacker een ontevreden ex-werknemer was die toegang had tot de accounts van FTX op basis van de timing van de aanval direct na het faillissement van het bedrijf.
Het is echter ook mogelijk dat iemand die geen familie is van FTX de instabiliteit in het bedrijf gebruikte om een aanval uit te voeren. Mogelijk hebben ze dit gedaan door personeel ertoe te verleiden e-mails met malware te lezen terwijl ze in de war waren over het faillissement van het bedrijf. Deze methode is gebruikt bij eerdere spraakmakende hacks die werden toegeschreven aan de door de Noord-Koreaanse staat gesponsorde hackergroep Lazarus Group.
Meer details over hoe de beurs is gehackt en wie de schuldige is, zullen waarschijnlijk naar boven komen naarmate de faillissementszaak voor FTX zich ontwikkelt.
Bron: https://www.cryptopolitan.com/who-hacked-ftx-new-twist/