¿Cómo se produjo el "extraño hackeo" el día de la quiebra de FTX?

Autor**|***Wired

Compilación**|**Wu dijo blockchain

En la noche del 11 de noviembre del año pasado, los empleados de FTX ya habían vivido el peor día de la corta historia de la empresa. Hace apenas 10 meses, la empresa, que acababa de convertirse en uno de los principales exchanges de criptomonedas del mundo, se declaró en bancarrota. Después de una larga lucha, los ejecutivos persuadieron al CEO de la compañía, Sam Bankman-Fried, para que entregara el poder a John Ray III, el nuevo CEO ahora encargado de guiar a la compañía fuera de una deuda de pesadilla que la compañía parecía no tener medios para pagar.

FTX parece haber tocado fondo. Hasta que alguien, uno o más ladrones no identificados, elige ese momento en particular para empeorar las cosas. Ese viernes por la noche, los exhaustos empleados de FTX comenzaron a ver la misteriosa salida de la criptomoneda de la compañía en Etherscan, donde se estaban robando cientos de millones de dólares en tiempo real.

“Me inclino, después de todo esto, ¿todavía estamos hackeados?” Un exempleado de FTX recordó que pidió no ser nombrado porque no estaba autorizado a hablar sobre asuntos internos de la empresa.

Según las propias cuentas de FTX, la empresa acabará perdiendo entre 415 y 432 millones de dólares en activos de criptomonedas debido a esos ladrones desconocidos, una cifra que ha sido confirmada públicamente como parte de su procedimiento de quiebra. Lo que FTX no había revelado anteriormente era lo cerca que estaba de perder potencialmente más: sus empleados y asesores externos se apresuraron a mover más de USD 1 mil millones en criptomonedas a un espacio de almacenamiento más seguro para que no fueran robadas por presencias maliciosas. En un momento dado, incluso hubo una lucha por enviar casi 500 millones de dólares a una unidad USB física en la oficina de un consultor para evitar que cayera en manos de ladrones.

“Invitar: Urgente”

A medida que el juicio del fundador caído en desgracia de FTX, Sam Bankman-Fryed, entra en su segunda semana, muchos en la comunidad de criptomonedas están observando de cerca los acontecimientos judiciales en busca de pistas sobre cómo el exchange fue saqueado de manera tan catastrófica horas después de dejar su control. La cuestión de quién llevó a cabo el robo, y si los ladrones eran personas internas de FTX o hackers externos, es la más crítica. El misterio aún no se ha resuelto, y ni Bankman-Fried ni otros altos ejecutivos de FTX han sido procesados por el robo.

Pero ahora, WIRED puede arrojar luz sobre los eventos en los que FTX luchó por limitar el daño causado por el robo esa noche de pánico, así como detener los robos que podrían valer 10 cifras. El nuevo equipo directivo de FTX, liderado por su nuevo CEO, Ray, se negó a ser entrevistado sobre el incidente. Pero WIRED se enteró de los detalles de la respuesta a la crisis a partir de facturas detalladas presentadas por la empresa de reestructuración Alvarez & Marsall sobre la quiebra de FTX, entrevistas con personas involucradas en una respuesta inmediata al robo y análisis de blockchain proporcionado por la empresa de seguimiento de criptomonedas Elliptic.

La respuesta comenzó alrededor de las 10 p.m. del 11 de noviembre, cuando Zach Dexter, CEO de la subsidiaria de FTX, LedgerX, envió una invitación a Google Meet a los más de 20 empleados restantes de FTX, abogados de bancarrota, consultores y consultores. El asunto de la línea de invitación es: “Urgente”.

Un puñado de empleados se unió rápidamente a la videollamada de Google Meet, que finalmente tuvo docenas de participantes durante las siguientes 12 horas. Todos ellos pueden ver sus carteras FTX vacías en tiempo real en Etherscan. Pero casi nadie sabe exactamente dónde almacena FTX sus criptomonedas o cómo gestiona las claves que controlan esos monederos. Esta información está en manos de solo un pequeño grupo de élites de FTX, Bankman-Fried y su círculo íntimo. Bankman-Fried nunca se presentó en la reunión, pero el cofundador y CTO de FTX, Gary Wang, se unió a la llamada, según fuentes que estuvieron presentes.

En ese momento, según las fuentes, Wang ya no era de confianza para muchos cercanos a Ray. Wang inicialmente se puso del lado de Bankman-Fried durante la caída de FTX, y solo se distanció del ex CEO después de días de persuasión de otros dentro de la empresa.

La sugerencia inicial de Wang en una reunión de emergencia de que el robo en curso podría detenerse simplemente cambiando la llave que protege la billetera que se estaba vaciando no obtuvo el apoyo de ninguno de sus críticos. Los antiguos empleados de FTX recuerdan sentirse inútiles porque quienquiera que obtuviera acceso a la red podía simplemente tomar nuevas claves y seguir adelante con su robo. “El zorro ha entrado en el gallinero, ¿y todavía tienes que cambiar la llave del gallinero?” Los antiguos empleados recuerdan haber pensado así. Más tarde, Wang se declaró culpable de los mismos cargos penales que enfrenta ahora Bankman-Fried, y no respondió a una solicitud enviada a su abogado para obtener comentarios.

Sin embargo, justo cuando comenzó la llamada de Google Meet, Dexter de LedgerX ya estaba explorando una forma diferente de proteger los fondos de FTX. Una semana antes del robo, el fideicomiso de activos digitales BitGo había estado en conversaciones con Sullivan & Cromwell, el bufete de abogados que supervisa el proceso de quiebra de FTX, para hacerse cargo de los criptoactivos restantes de la compañía. Así que Dexter ahora está llamando a BitGo para tratar de eludir el largo proceso de contrato legal que Sullivan & Cromwell comenzó con la compañía. En su lugar, Dexter exige a BitGo que cree inmediatamente monederos de “almacenamiento en frío” -que se mantendrán de forma segura en un entorno fuera de línea- a los que FTX pueda transferir todos sus fondos restantes como refugio seguro. Dexter no respondió a una solicitud de comentarios.

BitGo dice que en aproximadamente media hora, las billeteras estarán listas. A los empleados de FTX les preocupa que esto siga siendo demasiado lento. Para entonces, los ladrones podrían tomar otros cientos de millones de dólares en criptomonedas de la billetera de la compañía.

Alguien en la llamada de Google Meet preguntó si alguien tenía su propia billetera de hardware donde pudiera almacenar su dinero antes de que BitGo estuviera listo. Kumanan Ramanathan, un consultor de FTX en Alvarez & Marsall que participó en la llamada desde su casa en los suburbios de Nueva York, se ofreció como voluntario para ayudar. Tiene un Ledger Nano, una billetera de hardware USB, en la oficina de su casa, que propone establecer como un refugio temporal para fondos vulnerables.

Aproximadamente a las 10:30 p.m. ET del 11 de noviembre, Ramanathan configuró una nueva billetera en su Ledger Nano. El exempleado de FTX recuerda haberlo visto comprobar una y otra vez la contraseña que creó para esa billetera. Wang comenzó a enviar fondos de FTX a la billetera, y pronto Ramanathan mantuvo los criptoactivos de la compañía por valor de USD 400 millones a USD 500 millones en una unidad USB en su casa del condado de Westchester.

Llamadas nocturnas al 911

Unos minutos más tarde, BitGo les dijo a los empleados de FTX que su billetera estaba lista y comenzaron a transferir más cientos de millones de dólares en criptomonedas al almacenamiento en frío de BitGo en lugar del dispositivo Ledger de Ramanathan. Durante el resto de esa noche de insomnio, los empleados revisaron todas las billeteras donde se almacenaban los fondos de FTX y transfirieron todas las monedas que pudieron encontrar a BitGo. “Están limpiando todo tipo de sistemas, tratando de averiguar dónde están todo tipo de claves privadas, dónde se almacenan los activos”, dijo otra persona involucrada en la respuesta que no estaba autorizada a hablar públicamente. “Es un caos”.

Mientras los empleados de FTX se centraban en conseguir que los ejecutivos aprobaran estas transferencias de fondos potencialmente vulnerables, Ramanathan se quedó con la criptomoneda que Wang transfirió originalmente a su monedero Ledger. Esto crea una extraña situación en la que un individuo posee en realidad aproximadamente quinientos millones de dólares en empresas FTX, lo que en sí mismo plantea sus propios riesgos legales y de seguridad únicos. Esa noche, el consejero general de FTX, Ryne Miller, corrió a la casa de Ramanathan para ayudar a mantenerlo. Ryne Miller se negó a comentar sobre la historia y Ramanathan no respondió a una solicitud de comentarios.

A las 10:59 p.m. ET, Ramanathan llamó a la policía para denunciar el robo en curso y explicó que tenía una gran cantidad de fondos de la víctima y le pidió a la policía que fuera a su casa para ayudar a protegerla. Después de todo, nadie sabía (o ahora sabe) quién robó los otros fondos, y si podrían haber tratado de tocar físicamente las reservas que tenía Ramanathan. Según un informe policial del Departamento de Policía de New Rochelle, obtenido por WIRED, Ramanathan dijo a los despachadores del 911 que “actualmente se está produciendo un gran ataque de criptomonedas y se ha enviado una gran cantidad de dinero a esta dirección” y que estaba “preocupado de que la casa fuera un objetivo”.

Incluso después de que llegara la policía, el principal asesor legal de FTX, Miller, pasó la mayor parte de la noche en la casa de Ramanathan. Los registros de honorarios por hora de Ramanathan muestran que él y Miller pasaron casi tres horas y media en su casa desde las 2 a.m. hasta las 5 a.m. del 12 de noviembre.

Ramanathan o su hogar no estaban bajo ninguna amenaza sustancial. De hecho, cuando los fondos se transfirieron a la billetera Ledger de Ramanathan, el robo de fondos de FTX se detuvo. “Asumió grandes riesgos con su libro mayor personal”, dijo el ex empleado de FTX. Tengo la fuerte sensación de que si no hubiéramos hecho este Ledger, habríamos perdido más dinero. Finalmente, alrededor de las 5 a.m. del sábado 12 de noviembre, el dinero de la oficina central de Ramanathan se transfirió a BitGo. La empresa acabará teniendo el capital restante de FTX de 1.100 millones de dólares.

El sábado por la noche, Bankman-Fried y Wang transfirieron más de 400 millones de dólares a una cuenta bajo el control del gobierno de Bahamas para su custodia, según informó Forbes y documentó en documentos judiciales. Durante un tiempo, la transferencia de fondos a las Bahamas parecía confundirse con el robo en sí mismo. Una semana después del robo, algunos medios de comunicación informaron erróneamente que los fondos robados habían sido confiscados por el gobierno de las Bahamas. Como prueba de lo contrario, las empresas de seguimiento de criptomonedas como Elliptic y Chainalysis observaron que partes de los fondos robados reales se enviaban a servicios “mixtos” comúnmente utilizados para el lavado de dinero, como Railgun y el servicio de intercambio de monedas de cadena cruzada THORChain, típico de los ladrones que realizan robos de criptomonedas a gran escala.

Sin protección, sin hoja de ruta

Desde esa desesperada operación de rescate del 11 de noviembre, el nuevo equipo a cargo del procedimiento de quiebra de FTX ha acusado públicamente de graves fallos de seguridad que hicieron posible el robo.

Un informe publicado en abril como parte del procedimiento de quiebra de FTX cita ejemplos de tales supuestos descuidos: el anterior equipo de FTX no tenía un CISOO separado ni un equipo de seguridad dedicado real; Aunque se instruye a los empleados para que afirmen públicamente que solo hasta el 10% de las criptomonedas se almacenan en billeteras calientes (billeteras en computadoras conectadas a Internet), mantiene casi todas sus criptomonedas en billeteras calientes; Deja las claves de la billetera sin cifrar o no configura correctamente el sistema de seguridad necesario para desbloquear fondos con múltiples claves; Y la falta de un sistema de registro que sepa quién está transfiriendo dinero y cuándo, entre otros problemas.

El informe también describe las complicaciones a las que se enfrentó el nuevo equipo de FTX el 11 de noviembre, cuando el equipo se encontró en el primer día de su mandato para hacerse cargo de una red que se había averiado gravemente. “Debido a la falta de controles efectivos de FTX Group para proteger los criptoactivos, los deudores se enfrentan a la amenaza de perder miles de millones de dólares en activos adicionales en cualquier momento”, se lee en el informe, utilizando la palabra “deudor” para describir al nuevo equipo de gestión de FTX liderado por Ray. “A medida que los deudores luchan por identificar y acceder a los criptoactivos sin una ‘hoja de ruta’ que los guíe, los deudores han tenido que idear caminos técnicos para transferir muchos tipos de activos que identifican a billeteras frías”.

Dado este desorden aparentemente confuso de seguridad y organización, tal vez no sea sorprendente que FTX haya sido el objetivo del robo de criptomonedas más costoso de la historia. Pero si no hubiera sido por algunas decisiones rápidas tomadas en ese caos, ahora parece probable que sea peor.

“Fue una noche muy, muy loca”, dice el ex empleado de FTX, “y trabajamos duro para resolver problemas, hacer las cosas y ahorrar mucho dinero a nuestros clientes”.