Comment le « piratage bizarre » du jour de la faillite de FTX s’est-il produit ?

Auteur**|**Filaire

Compilation**|**Wu a dit blockchain

Le soir du 11 novembre de l’année dernière, les employés de FTX avaient déjà vécu la pire journée de la courte histoire de l’entreprise. Il y a tout juste 10 mois, la société, qui venait de devenir l’une des principales plateformes d’échange de crypto-monnaies au monde, a déclaré faillite. Après une longue lutte, les dirigeants ont persuadé le PDG de l’entreprise, Sam Bankman-Fried, de céder le pouvoir à John Ray III, le nouveau PDG désormais chargé de guider l’entreprise hors d’une dette cauchemardesque que l’entreprise semblait n’avoir aucun moyen de rembourser.

FTX semble avoir touché le fond. Jusqu’à ce que quelqu’un – un ou plusieurs cambrioleurs non identifiés – choisisse ce moment particulier pour aggraver les choses. Ce vendredi soir, les employés épuisés de FTX ont commencé à voir la mystérieuse sortie de la crypto-monnaie de l’entreprise sur Etherscan, où des centaines de millions de dollars étaient volés en temps réel.

« Je penche, après tout ça, est-ce qu’on est toujours piraté ? » Un ancien employé de FTX s’est souvenu qu’il avait demandé à ne pas être nommé parce qu’il n’était pas autorisé à parler des affaires internes de l’entreprise.

Selon les propres comptes de FTX, la société perdra finalement entre 415 et 432 millions de dollars d’actifs en crypto-monnaies à cause de ces voleurs inconnus, un chiffre qui a été publiquement confirmé dans le cadre de sa procédure de faillite. Ce que FTX n’avait pas révélé auparavant, c’est à quel point il était proche de perdre potentiellement plus – ses employés et ses conseillers externes se sont précipités pour déplacer plus d’un milliard de dollars de crypto-monnaie vers un espace de stockage plus sûr, de peur qu’ils ne soient volés par des présences malveillantes. À un moment donné, il y a même eu une ruée pour envoyer près de 500 millions de dollars sur une clé USB physique dans le bureau d’un consultant pour éviter qu’elle ne tombe entre les mains de voleurs.

« Inviter : Urgent »

Alors que le procès du fondateur disgracié de FTX, Sam Bankman-Fryed, entre dans sa deuxième semaine, de nombreux membres de la communauté des crypto-monnaies surveillent de près les événements judiciaires à la recherche d’indices sur la façon dont l’échange a été saccagé de manière aussi catastrophique quelques heures après avoir quitté son contrôle. La question de savoir qui a perpétré le vol – et si les voleurs étaient des initiés de FTX ou des pirates externes – est la plus cruciale. Le mystère n’a pas encore été résolu et ni Bankman-Fried ni d’autres hauts dirigeants de FTX n’ont été poursuivis pour le vol.

Mais maintenant, WIRED peut faire la lumière sur les événements au cours desquels FTX a eu du mal à limiter les dommages causés par le vol cette nuit de panique – ainsi qu’à arrêter des vols qui pourraient valoir 10 chiffres. La nouvelle équipe de direction de FTX, dirigée par son nouveau PDG, Ray, a refusé d’être interviewée sur l’incident. Mais WIRED a appris les détails horaires de la réponse à la crise à partir de factures détaillées déposées par la société de restructuration Alvarez & Marsall sur la faillite de FTX, d’entretiens avec des personnes impliquées dans une réponse immédiate au vol et d’une analyse de la blockchain fournie par la société de suivi des crypto-monnaies Elliptic.

La réponse a commencé vers 22 heures le 11 novembre, lorsque Zach Dexter, PDG de LedgerX, filiale de FTX, a envoyé une invitation à Google Meet aux plus de 20 employés restants de FTX, avocats spécialisés en faillite, consultants et consultants. L’objet de la ligne d’invitation est : « Urgent ».

Une poignée d’employés ont rapidement rejoint l’appel vidéo Google Meet, qui a finalement rassemblé des dizaines de participants au cours des 12 heures suivantes. Ils peuvent tous voir leurs portefeuilles FTX vidés en temps réel sur Etherscan. Mais presque personne ne sait exactement où FTX stocke ses crypto-monnaies ou comment il gère les clés qui contrôlent ces portefeuilles. Ces informations ne sont entre les mains que d’un petit groupe d’élites de FTX, Bankman-Fried et son cercle rapproché. Bankman-Fried ne s’est jamais présenté à la réunion, mais le cofondateur et directeur technique de FTX, Gary Wang, s’est joint à l’appel, selon des sources présentes.

À ce moment-là, selon des sources, Wang n’avait plus la confiance de nombreux proches de Ray. Wang s’est d’abord rangé du côté de Bankman-Fried lors du crash de FTX, et ne s’est distancié de l’ancien PDG qu’après des jours de persuasion de la part d’autres personnes au sein de l’entreprise.

La suggestion initiale de Wang lors d’une réunion d’urgence selon laquelle le vol en cours pourrait être arrêté en changeant simplement la clé protégeant le portefeuille en cours de vidange n’a obtenu le soutien d’aucun de ses détracteurs. D’anciens employés de FTX se souviennent s’être sentis inutiles parce que quiconque avait accès au réseau pouvait simplement s’emparer de nouvelles clés et passer à autre chose. « Le renard est entré dans le poulailler, et vous devez encore changer la clé du poulailler ? » D’anciens employés se souviennent de l’avoir pensé. Wang a par la suite plaidé coupable aux mêmes accusations criminelles que Bankman-Fried, et n’a pas répondu à une demande de commentaire envoyée à son avocat.

Cependant, juste au moment où l’appel Google Meet a commencé, Dexter de LedgerX explorait déjà une autre façon de protéger les fonds de FTX. Une semaine avant le vol, le trust d’actifs numériques BitGo était en pourparlers avec Sullivan & Cromwell, le cabinet d’avocats qui supervise le processus de faillite de FTX, pour reprendre les actifs cryptographiques restants de la société. Dexter appelle donc maintenant BitGo pour essayer de contourner le long processus contractuel juridique que Sullivan & Cromwell a commencé avec la société. Au lieu de cela, Dexter exige de BitGo qu’il crée immédiatement des portefeuilles de « stockage à froid » – qui seront conservés en toute sécurité dans un environnement hors ligne – dans lesquels FTX peut transférer tous ses fonds restants en tant que valeur refuge. Dexter n’a pas répondu à une demande de commentaire.

BitGo dit que dans environ une demi-heure, les portefeuilles seront prêts. Les employés de FTX craignent que cela soit encore trop lent. D’ici là, les voleurs pourraient prendre des centaines de millions de dollars supplémentaires de crypto-monnaie dans le portefeuille de l’entreprise.

Quelqu’un dans l’appel Google Meet a demandé si quelqu’un avait son propre portefeuille matériel où il pouvait stocker son argent avant que BitGo ne soit prêt. Kumanan Ramanathan, un consultant FTX chez Alvarez & Marsall qui a participé à l’appel depuis son domicile dans la banlieue de New York, s’est porté volontaire pour aider. Il a un Ledger Nano – un portefeuille matériel USB – dans son bureau à domicile – qu’il propose de mettre en place comme un refuge temporaire pour les fonds vulnérables.

Vers 22 h 30 HE le 11 novembre, Ramanathan a configuré un nouveau portefeuille sur son Ledger Nano. L’ancien employé de FTX se souvient de l’avoir vu vérifier et revérifier le mot de passe qu’il avait créé pour ce portefeuille. Wang a commencé à envoyer des fonds FTX vers le portefeuille, et bientôt Ramanathan a détenu les actifs cryptographiques de la société d’une valeur de 400 à 500 millions de dollars sur une clé USB dans sa maison du comté de Westchester.

Appels au 911 tard dans la nuit

Quelques minutes plus tard, BitGo a dit aux employés de FTX que son portefeuille était prêt, et ils ont commencé à transférer des centaines de millions de dollars de crypto-monnaie vers le stockage à froid de BitGo au lieu de l’appareil Ledger de Ramanathan. Pendant le reste de cette nuit blanche, les employés ont parcouru tous les portefeuilles où les fonds FTX étaient stockés et ont transféré toutes les pièces qu’ils ont pu trouver sur BitGo. « Ils nettoient toutes sortes de systèmes, essaient de savoir où se trouvent toutes sortes de clés privées, où les actifs sont stockés », a déclaré une autre personne impliquée dans l’intervention qui n’était pas autorisée à parler publiquement. « C’est le chaos. »

Alors que les employés de FTX se sont concentrés sur l’approbation par les dirigeants de ces transferts de fonds potentiellement vulnérables, Ramanathan s’est retrouvé à détenir la crypto-monnaie que Wang avait initialement transférée dans son portefeuille Ledger. Cela crée une situation étrange où un individu possède en fait environ un demi-milliard de dollars d’entreprises FTX, ce qui pose en soi ses propres risques juridiques et de sécurité. Cette nuit-là, l’avocat général de FTX, Ryne Miller, s’est précipité au domicile de Ramanathan pour l’aider à le garder. Ryne Miller a refusé de commenter l’histoire, et Ramanathan n’a pas répondu à une demande de commentaire.

À 22 h 59 HE, Ramanathan a appelé la police pour signaler le vol en cours et a expliqué qu’il détenait une grande partie des fonds de la victime et a demandé à la police de venir chez lui pour l’aider à le protéger. Après tout, personne ne savait (ou ne sait maintenant) qui avait volé les autres fonds, et s’ils avaient peut-être essayé de toucher physiquement les réserves détenues par Ramanathan. Selon un rapport de police du département de police de New Rochelle, obtenu par WIRED, Ramanathan a déclaré aux répartiteurs du 911 qu’"il y a actuellement une énorme attaque de crypto-monnaie en cours et qu’une grande quantité d’argent a été envoyée à cette adresse » et qu’il était « préoccupé par le fait que la maison serait une cible ».

Même après l’arrivée de la police, le conseiller juridique en chef de FTX, Miller, a passé la majeure partie de la nuit au domicile de Ramanathan. Les registres des honoraires horaires de Ramanathan montrent que lui et Miller ont passé près de trois heures et demie chez lui, de 2 heures à 5 heures du matin le 12 novembre.

Ramanathan ou sa maison n’étaient pas gravement menacées. En fait, lorsque les fonds ont été transférés vers le portefeuille Ledger de Ramanathan, le vol de fonds de FTX a cessé. « Il a pris d’énormes risques avec son registre personnel », a déclaré l’ancien employé de FTX. J’ai le sentiment très fort que si nous n’avions pas fait ce grand livre, nous aurions perdu plus d’argent. Finalement, vers 5 heures du matin le samedi 12 novembre, l’argent du bureau à domicile de Ramanathan a été transféré à BitGo. La société détiendra à terme le capital restant de FTX, soit 1,1 milliard de dollars.

Samedi soir, Bankman-Fried et Wang ont transféré plus de 400 millions de dollars sur un compte sous le contrôle du gouvernement des Bahamas pour les conserver, comme l’a rapporté Forbes et documenté dans des documents judiciaires. Pendant un certain temps, le transfert de fonds aux Bahamas a semblé confondu avec le vol lui-même. Une semaine après le vol, certains médias ont rapporté à tort que les fonds volés avaient en fait été confisqués par le gouvernement des Bahamas. Comme preuve du contraire, les sociétés de suivi des crypto-monnaies telles que Elliptic et Chainalysis ont observé qu’une partie des fonds volés était envoyée à des services de « mélange » couramment utilisés pour le blanchiment d’argent, tels que Railgun et le service d’échange de pièces inter-chaînes THORChain, typiques des voleurs qui effectuent des vols de crypto-monnaie à grande échelle.

Pas de protection, pas de feuille de route

Depuis cette opération de sauvetage désespérée du 11 novembre, la nouvelle équipe en charge de la procédure de faillite de FTX a publiquement accusé les graves failles de sécurité qui ont rendu le vol possible.

Un rapport publié en avril dans le cadre de la procédure de faillite de FTX cite des exemples de tels oublis présumés : l’équipe précédente de FTX ne disposait pas d’un CISOO distinct ou d’une véritable équipe de sécurité dédiée ; Bien que les employés aient pour instruction d’affirmer publiquement que seulement 10 % des crypto-monnaies sont stockées dans des portefeuilles chauds (portefeuilles sur des ordinateurs connectés à Internet), elle conserve la quasi-totalité de ses crypto-monnaies dans des portefeuilles chauds ; Il laisse des clés de portefeuille non cryptées ou ne parvient pas à configurer correctement le système de sécurité nécessaire pour déverrouiller les fonds avec plusieurs clés ; Et l’absence d’un système d’enregistrement qui sait même qui transfère de l’argent et quand, entre autres problèmes.

Le rapport décrit également les complications auxquelles la nouvelle équipe de FTX a été confrontée le 11 novembre, lorsque l’équipe s’est retrouvée le premier jour de son mandat à prendre le contrôle d’un réseau qui était tombé en panne. « En raison de l’absence de contrôles efficaces du groupe FTX pour protéger les actifs cryptographiques, les débiteurs sont confrontés à la menace de perdre des milliards de dollars d’actifs supplémentaires à tout moment », peut-on lire dans le rapport, utilisant le mot « débiteur » pour décrire la nouvelle équipe de direction de FTX dirigée par Ray. « Alors que les débiteurs ont du mal à identifier et à accéder aux crypto-actifs sans une « feuille de route » pour les guider, les débiteurs ont dû concevoir des voies techniques pour transférer de nombreux types d’actifs qu’ils identifient dans des portefeuilles froids. »

Compte tenu de ce désordre apparemment déroutant en matière de sécurité et d’organisation, il n’est peut-être pas surprenant que FTX ait été la cible du vol de crypto-monnaie le plus coûteux de l’histoire. Mais s’il n’y avait pas eu quelques décisions rapides prises dans ce chaos, il semble maintenant que ce serait pire.

« C’était une nuit très, très folle », a déclaré l’ancien employé de FTX, « et nous avons travaillé dur pour résoudre les problèmes, faire avancer les choses et économiser beaucoup d’argent pour nos clients. »