Como aconteceu o "hack bizarro" no dia da falência da FTX?

Autor**|**Wired

Compilação**|**Wu disse blockchain

Na noite de 11 de novembro do ano passado, os funcionários da FTX já haviam vivido o pior dia da curta história da empresa. Apenas 10 meses atrás, a empresa, que tinha acabado de se tornar uma das principais exchanges de criptomoedas do mundo, declarou falência. Depois de uma longa luta, os executivos convenceram o CEO da empresa, Sam Bankman-Fried, a entregar o poder a John Ray III, o novo CEO agora encarregado de guiar a empresa para fora de uma dívida de pesadelo que a empresa parecia não ter meios de pagar.

A FTX parece ter chegado ao fundo do poço. Até que alguém – um ou mais assaltantes não identificados – escolha aquele momento específico para piorar as coisas. Naquela sexta-feira à noite, funcionários exaustos da FTX começaram a ver a misteriosa saída da criptomoeda da empresa no Etherscan, onde centenas de milhões de dólares estavam sendo roubados em tempo real.

“Eu enxugo, depois de tudo isso, ainda somos hackeados?” Um ex-funcionário da FTX lembrou que pediu para não ser identificado porque não estava autorizado a falar sobre assuntos internos da empresa.

De acordo com as próprias contas da FTX, a empresa acabará perdendo entre US$ 415 milhões e US$ 432 milhões em ativos de criptomoedas devido a esses ladrões desconhecidos, um valor que foi confirmado publicamente como parte de seu processo de falência. O que a FTX não havia revelado anteriormente era o quão perto estava de potencialmente perder mais – seus funcionários e consultores externos correram para mover mais de US$ 1 bilhão em criptomoedas para um espaço de armazenamento mais seguro, para não serem roubados por presenças maliciosas. Em determinado momento, houve até uma corrida para enviar quase US$ 500 milhões para um drive USB físico no escritório de um consultor para evitar que ele caísse nas mãos de ladrões.

“Convidar: Urgente”

À medida que o julgamento do fundador desgraçado da FTX, Sam Bankman-Fryed, entra em sua segunda semana, muitos na comunidade de criptomoedas estão observando de perto os eventos judiciais em busca de quaisquer pistas sobre como a exchange foi tão catastroficamente saqueada horas depois de deixar seu controle. A questão de quem realizou o roubo – e se os ladrões eram insiders da FTX ou hackers externos – é a mais crítica. O mistério ainda não foi resolvido, e nem Bankman-Fried nem outros altos executivos da FTX foram processados pelo roubo.

Mas agora, a WIRED pode lançar luz sobre os eventos em que a FTX lutou para limitar os danos causados pelo roubo naquela noite de pânico - bem como impedir roubos que poderiam valer 10 dígitos. A nova equipe de liderança da FTX, liderada por seu novo CEO, Ray, se recusou a ser entrevistada sobre o incidente. Mas a WIRED aprendeu os detalhes horários da resposta à crise a partir de faturas detalhadas apresentadas pela empresa de reestruturação Alvarez & Marsall sobre a falência da FTX, entrevistas com indivíduos envolvidos em uma resposta imediata ao roubo e análise de blockchain fornecida pela empresa de rastreamento de criptomoedas Elliptic.

A resposta começou por volta das 22h de 11 de novembro, quando Zach Dexter, CEO da LedgerX, subsidiária da FTX, enviou um convite ao Google Meet para os mais de 20 funcionários restantes da FTX, advogados de falência, consultores e consultores. O tema da linha de convite é: “Urgente”.

Um punhado de funcionários rapidamente se juntou à chamada de vídeo do Google Meet, que acabou tendo dezenas de participantes nas 12 horas seguintes. Todos eles podem ver suas carteiras FTX esvaziadas em tempo real no Etherscan. Mas quase ninguém sabe exatamente onde a FTX armazena suas criptomoedas ou como gerencia as chaves que controlam essas carteiras. Esta informação está nas mãos de apenas um pequeno grupo de elites FTX, Bankman-Fried e seu círculo íntimo. Bankman-Fried nunca apareceu na reunião, mas o cofundador e CTO da FTX, Gary Wang, juntou-se à chamada, de acordo com fontes que estavam presentes.

Por esta altura, de acordo com fontes, Wang já não tinha a confiança de muitos próximos de Ray. Wang inicialmente ficou do lado de Bankman-Fried durante o crash da FTX, e só se distanciou do ex-CEO após dias de persuasão de outros dentro da empresa.

A sugestão inicial de Wang em uma reunião de emergência de que o roubo em curso poderia ser interrompido simplesmente mudando a chave que protegia a carteira que estava sendo esvaziada não ganhou o apoio de nenhum de seus críticos. Ex-funcionários da FTX se lembram de se sentir inúteis porque quem ganhasse acesso à rede poderia simplesmente pegar novas chaves e seguir em frente com seu roubo. “A raposa entrou no galinheiro, e você ainda tem que mudar a chave do galinheiro?” Os antigos funcionários lembram-se de pensar assim. Wang mais tarde se declarou culpado das mesmas acusações criminais que Bankman-Fried enfrenta agora, e não respondeu a um pedido enviado a seu advogado para comentários.

No entanto, assim que a chamada do Google Meet começou, o Dexter da LedgerX já estava explorando uma maneira diferente de proteger os fundos da FTX. Uma semana antes do roubo, o fundo de ativos digitais BitGo estava em negociações com Sullivan e Cromwell, o escritório de advocacia que supervisiona o processo de falência da FTX, para assumir os criptoativos restantes da empresa. Então, Dexter agora está ligando para a BitGo para tentar contornar o longo processo legal de contrato que Sullivan e Cromwell começaram com a empresa. Em vez disso, Dexter exige que a BitGo crie imediatamente carteiras de “armazenamento frio” - que serão mantidas com segurança em um ambiente offline - para as quais a FTX pode transferir todos os seus fundos restantes como um porto seguro. Dexter não respondeu a um pedido de comentário.

BitGo diz que em cerca de meia hora, as carteiras estarão prontas. Os funcionários da FTX temem que isso ainda seja muito lento. Até lá, os ladrões poderiam tirar outras centenas de milhões de dólares em criptomoedas da carteira da empresa.

Alguém na chamada do Google Meet perguntou se alguém tinha sua própria carteira de hardware onde poderia armazenar seu dinheiro antes que o BitGo estivesse pronto. Kumanan Ramanathan, consultor da FTX na Alvarez & Marsall que participou da ligação de sua casa no subúrbio de Nova York, se ofereceu para ajudar. Ele tem um Ledger Nano - uma carteira de hardware USB - em seu escritório em casa - que ele propõe criar como um refúgio temporário para fundos vulneráveis.

Por volta das 22h30 ET de 11 de novembro, Ramanathan montou uma nova carteira em seu Ledger Nano. O ex-funcionário da FTX lembra-se de o ver verificar e verificar novamente a palavra-passe que criou para aquela carteira. Wang começou a enviar fundos FTX para a carteira, e logo Ramanathan detinha os criptoativos da empresa no valor de US$ 400 milhões a US$ 500 milhões em uma unidade USB em sua casa no condado de Westchester.

Chamadas 911 tarde da noite

Alguns minutos depois, a BitGo disse aos funcionários da FTX que sua carteira estava pronta, e eles começaram a transferir mais centenas de milhões de dólares de criptomoedas para o armazenamento frio da BitGo em vez do dispositivo Ledger de Ramanathan. Durante o resto daquela noite sem dormir, os funcionários vasculharam todas as carteiras onde os fundos FTX estavam armazenados e transferiram todas as moedas que puderam encontrar para a BitGo. “Eles estão limpando todos os tipos de sistemas, tentando descobrir onde estão todos os tipos de chaves privadas, onde os ativos estão armazenados”, disse outra pessoa envolvida na resposta que não foi autorizada a falar publicamente. “É o caos.”

Enquanto os funcionários da FTX se concentravam em fazer com que os executivos aprovassem essas transferências de fundos potencialmente vulneráveis, Ramanathan foi deixado para manter a criptomoeda que Wang originalmente transferiu para sua carteira Ledger. Isso cria uma situação estranha em que um indivíduo realmente possui aproximadamente meio bilhão de dólares em empresas FTX, o que por si só representa seus próprios riscos legais e de segurança. Naquela noite, o conselheiro geral da FTX, Ryne Miller, correu para a casa de Ramanathan para ajudar a mantê-lo. Ryne Miller se recusou a comentar a história, e Ramanathan não respondeu a um pedido de comentário.

Às 22h59 ET, Ramanathan chamou a polícia para relatar o roubo em curso e explicou que estava com uma grande quantidade de fundos da vítima e pediu à polícia para ir até sua casa para ajudar a protegê-la. Afinal, ninguém sabia (ou agora sabe) quem roubou os outros fundos, e se eles poderiam ter tentado tocar fisicamente nos reservas que Ramanathan detinha. De acordo com um relatório policial do Departamento de Polícia de New Rochelle, obtido pela WIRED, Ramanathan disse aos despachantes do 911 que “há atualmente um enorme ataque de criptomoedas acontecendo e uma grande quantidade de dinheiro foi enviada para este endereço” e que ele estava “preocupado que a casa fosse um alvo”.

Mesmo depois que a polícia chegou, o principal conselheiro jurídico da FTX, Miller, passou a maior parte da noite na casa de Ramanathan. Os registros de taxa horária de Ramanathan mostram que ele e Miller passaram quase três horas e meia em sua casa, das 2h às 5h de 12 de novembro.

Ramanathan ou sua casa não estavam sob nenhuma ameaça substancial. Na verdade, quando os fundos foram transferidos para a carteira Ledger de Ramanathan, o roubo de fundos da FTX parou. “Ele correu enormes riscos com seu Ledger pessoal”, disse o ex-funcionário da FTX. Tenho um sentimento muito forte de que, se não tivéssemos feito este Ledger, teríamos perdido mais dinheiro. Por fim, por volta das 5h de sábado, 12 de novembro, o dinheiro do escritório de Ramanathan foi transferido para a BitGo. A empresa acabará por deter o capital restante da FTX de US$ 1,1 bilhão.

Na noite de sábado, Bankman-Fried e Wang transferiram mais de US$ 400 milhões para uma conta sob o controle do governo das Bahamas para guarda, conforme relatado pela Forbes e documentado em documentos judiciais. Durante algum tempo, a transferência de fundos para as Bahamas pareceu confundida com o próprio roubo. Uma semana após o roubo, alguns meios de comunicação informaram erroneamente que os fundos roubados tinham sido confiscados pelo governo das Bahamas. Como prova em contrário, empresas de rastreamento de criptomoedas como Elliptic e Chainalysis observaram que partes dos fundos roubados reais foram enviadas para serviços de “mistura” comumente usados para lavagem de dinheiro, como o Railgun e o serviço de troca de moedas de cadeia cruzada THORChain, típico de ladrões que realizam roubo de criptomoedas em grande escala.

Sem proteção, sem roteiro

Desde aquela operação de resgate desesperada em 11 de novembro, a nova equipe encarregada do processo de falência da FTX acusou publicamente de graves falhas de segurança que tornaram o roubo possível.

Um relatório de abril divulgado como parte do processo de falência da FTX cita exemplos de tais supostas descuidos: a equipe anterior da FTX não tinha um CISOO separado ou uma equipe de segurança dedicada real; Embora os funcionários sejam instruídos a afirmar publicamente que apenas até 10% das criptomoedas são armazenadas em hot wallets (carteiras em computadores conectados à internet), ela mantém quase todas as suas criptomoedas em hot wallets; Deixa chaves de carteira não encriptadas ou não configura corretamente o sistema de segurança necessário para desbloquear fundos com várias chaves; E a falta de um sistema de registro que saiba quem está transferindo dinheiro e quando, entre outros problemas.

O relatório também descreve as complicações que a nova equipe da FTX enfrentou em 11 de novembro, quando a equipe se viu no primeiro dia de seu mandato para assumir uma rede que havia quebrado muito. “Devido à falta de controles eficazes do FTX Group para proteger os criptoativos, os devedores enfrentam a ameaça de perder bilhões de dólares em ativos adicionais a qualquer momento”, diz o relatório, usando a palavra “devedor” para descrever a nova equipe de gestão da FTX liderada por Ray. “Como os devedores lutam para identificar e acessar criptoativos sem um ‘roteiro’ para guiá-los, os devedores tiveram que criar caminhos técnicos para transferir muitos tipos de ativos que identificam para carteiras frias.”

Dada essa confusão aparentemente confusa de segurança e organização, talvez não seja surpreendente que a FTX tenha sido alvo do roubo de criptomoedas mais caro da história. Mas se não fossem algumas decisões rápidas tomadas nesse caos, agora parece provável que seja pior.

“Foi uma noite muito, muito louca”, diz o ex-funcionário da FTX, “e trabalhamos duro para resolver problemas, fazer as coisas e economizar muito do dinheiro de nossos clientes.”