Как произошел «странный взлом» в день банкротства FTX?

Автор**|**Wired

Компиляция**|**Ву сказал блокчейн

Вечером 11 ноября прошлого года сотрудники FTX уже пережили худший день за недолгую историю компании. Всего 10 месяцев назад компания, которая только что стала одной из топовых криптовалютных бирж в мире, объявила о банкротстве. После долгой борьбы руководители убедили генерального директора компании Сэма Бэнкмана-Фрида передать власть Джону Рэю III, новому генеральному директору, которому теперь было поручено вывести компанию из кошмарного долга, который, казалось, компания не могла погасить.

FTX, похоже, достигла дна. До тех пор, пока кто-то — один или несколько неизвестных грабителей — не выберет именно этот момент, чтобы усугубить ситуацию. В тот вечер пятницы измученные сотрудники FTX начали видеть загадочный отток криптовалюты компании на Etherscan, где в режиме реального времени похищались сотни миллионов долларов.

«Я склоняюсь, после всего этого, мы все еще взломаны?» Бывший сотрудник FTX вспоминал, что попросил не называть его имени, потому что не уполномочен говорить о внутренних делах компании.

Согласно собственным отчетам FTX, компания в конечном итоге потеряет от 415 до 432 миллионов долларов в криптовалютных активах из-за этих неизвестных воров, цифра, которая была публично подтверждена в рамках процедуры банкротства. Чего FTX ранее не раскрывала, так это того, насколько она была близка к тому, чтобы потенциально потерять больше — ее сотрудники и внешние консультанты поспешили переместить криптовалюту на сумму более 1 миллиарда долларов в более безопасное место для хранения, чтобы она не была украдена злоумышленниками. В какой-то момент в офисе консультанта даже была попытка отправить почти 500 миллионов долларов на физический USB-накопитель, чтобы предотвратить его попадание в руки воров.

“Пригласить: срочно”

По мере того, как судебный процесс над опальным основателем FTX Сэмом Бэнкманом-Фрайдом продолжается уже вторую неделю, многие в криптовалютном сообществе внимательно следят за судебными событиями в поисках каких-либо подсказок относительно того, как биржа была так катастрофически разграблена через несколько часов после того, как он вышел из-под его контроля. Вопрос о том, кто совершил кражу и были ли воры инсайдерами FTX или внешними хакерами, является наиболее важным. Тайна до сих пор не раскрыта, и ни Бэнкман-Фрид, ни другие высокопоставленные руководители FTX не были привлечены к ответственности за кражу.

Но теперь WIRED может пролить свет на события, в которых FTX изо всех сил пыталась ограничить ущерб, причиненный кражей в ту ночь паники, а также остановить кражи, которые могут стоить 10-значные цифры. Новая руководящая команда FTX во главе с новым генеральным директором Рэем отказалась давать интервью об инциденте. Но WIRED узнал ежечасные подробности реагирования на кризис из подробных счетов, поданных фирмой по реструктуризации Alvarez & Marsall о банкротстве FTX, интервью с лицами, участвующими в немедленном реагировании на кражу, и анализа блокчейна, предоставленного фирмой по отслеживанию криптовалют Elliptic.

Ответ начался около 10 часов вечера 11 ноября, когда Зак Декстер, генеральный директор дочерней компании FTX LedgerX, отправил приглашение в Google Meet оставшимся более чем 20 сотрудникам FTX, юристам по банкротству, консультантам и консультантам. Тема пригласительной строки: «Срочно».

Несколько сотрудников быстро присоединились к видеозвонку Google Meet, в котором в течение следующих 12 часов приняли участие десятки человек. Все они могут видеть, как их кошельки FTX опустошаются в режиме реального времени на Etherscan. Но почти никто точно не знает, где FTX хранит свои криптовалюты или как она управляет ключами, которые управляют этими кошельками. Эта информация находится в руках лишь небольшой группы элиты FTX, Бэнкмана-Фрида и его ближайшего окружения. По словам присутствовавших источников, Бэнкман-Фрид так и не появился на встрече, но соучредитель и технический директор FTX Гэри Ван присоединился к звонку.

К этому времени, согласно источникам, Вану уже не доверяли многие близкие к Рэю люди. Первоначально Ван встал на сторону Бэнкмана-Фрида во время краха FTX и дистанцировался от бывшего генерального директора только после нескольких дней уговоров со стороны других сотрудников компании.

Первоначальное предложение Вана на экстренном совещании о том, что продолжающуюся кражу можно остановить, просто сменив ключ, защищающий опустошаемый кошелек, не получило поддержки ни одного из его критиков. Бывшие сотрудники FTX помнят, что чувствовали себя бессмысленными, потому что тот, кто получил доступ к сети, мог просто схватить новые ключи и продолжить их кражу. «Лиса зашла в курятник, а вам еще нужно поменять ключ от курятника?» Бывшие сотрудники помнят, что так думали. Позже Ван признал себя виновным по тем же уголовным обвинениям, что и Бэнкман-Фрид, и не ответил на просьбу его адвоката прокомментировать ситуацию.

Однако, как только начался звонок в Google Meet, Dexter из LedgerX уже изучал другой способ защиты средств FTX. За неделю до кражи траст цифровых активов BitGo вел переговоры с юридической фирмой Sullivan & Cromwell, которая курирует процесс банкротства FTX, о приобретении оставшихся криптоактивов компании. Поэтому Декстер теперь звонит в BitGo, чтобы попытаться обойти длительный юридический процесс заключения контракта, который Салливан и Кромвель начали с компанией. Вместо этого Dexter требует, чтобы BitGo немедленно создала кошельки «холодного хранения», которые будут надежно храниться в автономной среде, в которые FTX может перевести все свои оставшиеся средства в качестве безопасной гавани. Декстер не ответил на просьбу о комментарии.

BitGo говорит, что примерно через полчаса кошельки будут готовы. Сотрудники FTX опасаются, что это все еще слишком медленно. К тому времени воры могут забрать из кошелька компании еще сотни миллионов долларов криптовалюты.

Кто-то во время звонка в Google Meet спросил, есть ли у кого-нибудь собственный аппаратный кошелек, где они могли бы хранить свои деньги до того, как BitGo будет готов. Куманан Раманатан, консультант FTX в Alvarez & Marshall, который участвовал в звонке из своего дома в пригороде Нью-Йорка, вызвался помочь. У него в домашнем офисе есть Ledger Nano — аппаратный USB-кошелек, который он предлагает создать в качестве временного убежища для уязвимых средств.

Примерно в 22:30 по восточному времени 11 ноября Раманатан создал новый кошелек на своем Ledger Nano. Бывший сотрудник FTX вспоминает, как он проверял и перепроверял пароль, который он создал для этого кошелька. Ван начал отправлять средства FTX на кошелек, и вскоре Раманатан держал криптоактивы компании на сумму от 400 до 500 миллионов долларов на USB-накопителе в своем доме в округе Вестчестер.

Ночные звонки в службу 911

Через несколько минут BitGo сообщила сотрудникам FTX, что ее кошелек готов, и они начали переводить более сотни миллионов долларов криптовалюты в холодное хранилище BitGo вместо устройства Ledger Раманатана. До конца этой бессонной ночи сотрудники прочесывали каждый кошелек, где хранились средства FTX, и переводили каждую монету, которую могли найти, в BitGo. «Они очищают всевозможные системы, пытаясь выяснить, где находятся все виды закрытых ключей, где хранятся активы», — сказал другой человек, участвовавший в ответе, который не был уполномочен говорить публично. — Это хаос.

В то время как сотрудники FTX сосредоточились на том, чтобы заставить руководителей одобрить эти потенциально уязвимые переводы средств, Раманатан остался хранить криптовалюту, которую Ван первоначально перевел на свой кошелек Ledger. Это создает странную ситуацию, когда человек фактически владеет компаниями FTX на сумму около полумиллиарда долларов, что само по себе создает свои уникальные юридические риски и риски безопасности. В ту ночь главный юрисконсульт FTX Райн Миллер поспешил в дом Раманатхана, чтобы помочь сохранить его. Райн Миллер отказался комментировать эту историю, а Раманатан не ответил на просьбу о комментарии.

В 22:59 по восточному времени Раманатан позвонил в полицию, чтобы сообщить о продолжающейся краже, и объяснил, что у него хранится большая сумма средств жертвы, и попросил полицию прийти к нему домой, чтобы помочь защитить его. В конце концов, никто не знал (или не знает), кто украл остальные средства, и пытались ли они физически прикоснуться к резервам, которые были у Раманатхана. Согласно полицейскому отчету полицейского управления Нью-Рошели, полученному WIRED, Раманатан сказал диспетчерам службы 911, что «в настоящее время происходит огромная криптовалютная атака, и на этот адрес была отправлена большая сумма денег», и что он «обеспокоен тем, что дом может стать мишенью».

Даже после того, как прибыла полиция, главный юрисконсульт FTX Миллер провел большую часть ночи в доме Раманатана. Почасовая оплата труда Раманатана показывает, что он и Миллер провели почти три с половиной часа в его доме примерно с 2 до 5 часов утра 12 ноября.

Раманатану или его дому ничего не угрожало. Фактически, когда средства были переведены на кошелек Раманатхана Ledger, кража средств с FTX прекратилась. «Он сильно рисковал со своим личным Ledger», — сказал бывший сотрудник FTX. У меня есть очень сильное ощущение, что если бы мы не сделали этот Ledger, мы бы потеряли больше денег. В конце концов, около 5 часов утра в субботу, 12 ноября, деньги из домашнего офиса Раманатхана были переведены в BitGo. В конечном итоге компания будет владеть оставшимся капиталом FTX в размере 1,1 миллиарда долларов.

Поздно вечером в субботу Бэнкман-Фрид и Ван перевели более 400 миллионов долларов на счет, находящийся под контролем правительства Багамских островов, на хранение, как сообщает Forbes и задокументировано в судебных документах. Какое-то время перевод средств на Багамы казался ошибочно принятым за воровство. Через неделю после кражи некоторые СМИ ошибочно сообщили, что украденные средства на самом деле были конфискованы правительством Багамских островов. В качестве доказательства обратного компании по отслеживанию криптовалют, такие как Elliptic и Chainalysis, отметили, что часть фактически украденных средств была отправлена на «смешанные» сервисы, обычно используемые для отмывания денег, такие как Railgun и сервис обмена монет THORChain, типичный для воров, которые совершают крупномасштабную кражу криптовалюты.

Нет защиты, нет дорожной карты

После той отчаянной спасательной операции 11 ноября новая команда, отвечающая за процедуру банкротства FTX, публично обвинила в серьезных недостатках безопасности, которые сделали кражу возможной.

В апрельском отчете, опубликованном в рамках процедуры банкротства FTX, приводятся примеры таких предполагаемых упущений: в предыдущей команде FTX не было отдельного директора по информационной безопасности или фактической выделенной команды безопасности; Несмотря на то, что сотрудники проинструктированы публично заявлять, что только до 10% криптовалют хранятся в горячих кошельках (кошельках на компьютерах, подключенных к Интернету), компания хранит почти все свои криптовалюты в горячих кошельках; Он оставляет незашифрованные ключи кошелька или не может должным образом настроить систему безопасности, необходимую для разблокировки средств с помощью нескольких ключей; И отсутствие системы логирования, которая даже знает, кто и когда переводит деньги, среди прочих проблем.

В отчете также описываются сложности, с которыми столкнулась новая команда FTX 11 ноября, когда в первый день своего пребывания в должности команда обнаружила, что ей пришлось взять на себя управление сетью, которая сильно сломалась. «Из-за отсутствия у FTX Group эффективных средств контроля для защиты криптоактивов должники в любой момент сталкиваются с угрозой потери дополнительных активов на миллиарды долларов», — говорится в отчете, в котором используется слово «должник» для описания новой управленческой команды FTX во главе с Рэем. «Поскольку должники изо всех сил пытаются идентифицировать и получить доступ к криптоактивам без «дорожной карты», которая бы направляла их, должникам приходится разрабатывать технические пути для перевода многих типов активов, которые они идентифицируют, в холодные кошельки».

Учитывая этот, по-видимому, запутанный в вопросах безопасности и организационный беспорядок, неудивительно, что FTX стала мишенью для самой дорогостоящей кражи криптовалюты в истории. Но если бы не некоторые быстрые решения, принятые в этом хаосе, сейчас, похоже, все было бы еще хуже.

«Это была очень, очень сумасшедшая ночь, — говорит бывший сотрудник FTX, — и мы усердно работали, чтобы решить проблемы, довести дело до конца и сэкономить много денег наших клиентов».