Як стався «химерний злом» у день банкрутства FTX?

Автор**|**Wired

Компіляція**|**Ву сказав блокчейн

Увечері 11 листопада минулого року співробітники FTX вже пережили найгірший день у короткій історії компанії. Всього 10 місяців тому компанія, яка тільки-но стала однією з топових криптовалютних бірж у світі, оголосила про банкрутство. Після тривалої боротьби керівники переконали генерального директора компанії Сема Бенкмана-Фріда передати владу Джону Рею III, новому генеральному директору, якому тепер доручено вивести компанію з кошмарного боргу, який, здавалося, компанія не могла повернути.

FTX, схоже, досягла дна. До тих пір, поки хто-небудь - один або кілька невідомих грабіжників - не вибере цей конкретний момент, щоб погіршити ситуацію. У п’ятницю ввечері виснажені співробітники FTX почали бачити таємничий відтік криптовалюти компанії на Etherscan, де в режимі реального часу викрадали сотні мільйонів доларів.

— Я схиляюся, після всього цього нас ще зламали? Колишній співробітник FTX пригадав, що попросив не називати його імені, оскільки не уповноважений говорити про внутрішні справи компанії.

Згідно з власними рахунками FTX, компанія зрештою втратить від 415 до 432 мільйонів доларів криптовалютних активів через цих невідомих злодіїв, цифра, яка була публічно підтверджена в рамках процедури банкрутства. Раніше FTX не розкривала, наскільки близька вона до потенційної втрати більше — її співробітники та зовнішні консультанти поспішили перемістити криптовалюту на суму понад 1 мільярд доларів у безпечніший простір для зберігання, щоб вона не була вкрадена зловмисниками. Одного разу навіть виникла спроба відправити майже 500 мільйонів доларів на фізичний USB-накопичувач в офісі консультанта, щоб запобігти його потраплянню в руки злодіїв.

“Запросити: терміново”

Оскільки судовий процес над опальним засновником FTX Семом Бенкманом-Фрайдом вступає в другий тиждень, багато хто в криптовалютній спільноті уважно стежить за судовими подіями в пошуках будь-яких підказок про те, як біржа була так катастрофічно розграбована через кілька годин після того, як він вийшов з-під його контролю. Питання про те, хто здійснив крадіжку — і чи були злодії інсайдерами FTX чи зовнішніми хакерами — є найважливішим. Таємниця ще не розгадана, і ні Бенкман-Фрід, ні інші високопоставлені керівники FTX не були притягнуті до відповідальності за крадіжку.

Але тепер WIRED може пролити світло на події, в яких FTX намагалася обмежити збитки, завдані крадіжкою тієї ночі паніки, а також зупинити крадіжки, які могли б коштувати 10-значну суму. Нова команда керівництва FTX на чолі з новим генеральним директором Реєм відмовилася давати інтерв’ю щодо інциденту. Але WIRED дізнався погодинні подробиці реагування на кризу з детальних рахунків-фактур, поданих реструктуризаторською фірмою Alvarez & Marsall про банкрутство FTX, інтерв’ю з особами, які брали участь у негайному реагуванні на крадіжку, та аналізу блокчейну, наданого фірмою з відстеження криптовалют Elliptic.

Відповідь розпочалася близько 22:00 11 листопада, коли Зак Декстер, генеральний директор дочірньої компанії FTX LedgerX, надіслав запрошення до Google Meet понад 20 співробітникам FTX, юристам з питань банкрутства, консультантам і консультантам. Тема рядка запрошення: «Терміново».

Кілька співробітників швидко приєдналися до відеодзвінка Google Meet, у якому протягом наступних 12 годин взяли участь десятки учасників. Усі вони можуть бачити, як їхні гаманці FTX спустошуються в режимі реального часу на Etherscan. Але майже ніхто не знає, де саме FTX зберігає свої криптовалюти або як вона керує ключами, які контролюють ці гаманці. Ця інформація знаходиться в руках лише невеликої групи еліт FTX, Бенкмана-Фріда та його найближчого оточення. Бенкман-Фрід так і не з’явився на зустріч, але, за словами джерел, які були присутні, до дзвінка приєднався співзасновник і технічний директор FTX Гері Ван.

До цього часу, як стверджують джерела, Вану вже не довіряли багато близьких до Рея люди. Спочатку Ван став на бік Бенкмана-Фріда під час краху FTX і дистанціювався від колишнього генерального директора лише після кількох днів умовлянь з боку інших у компанії.

Початкове припущення Вана на екстреному засіданні про те, що крадіжку, що триває, можна зупинити, просто змінивши ключ, що захищає гаманець, що спустошується, не знайшло підтримки жодного з його критиків. Колишні співробітники FTX пам’ятають, що відчували себе безглуздими, тому що той, хто отримав доступ до мережі, міг просто схопити нові ключі та продовжити свою крадіжку. — Лисиця зайшла в курник, а ключ від курника ще треба міняти? Колишні співробітники пам’ятають, що так думали. Пізніше Ван визнав себе винним за тими ж кримінальними звинуваченнями, які зараз висувають Бенкману-Фріду, і не відповів на запит, надісланий його адвокату для коментарів.

Однак, як тільки почався дзвінок Google Meet, Декстер з LedgerX вже досліджував інший спосіб захисту коштів FTX. За тиждень до крадіжки траст цифрових активів BitGo вів переговори з Sullivan & Cromwell, юридичною фірмою, яка контролює процес банкрутства FTX, про поглинання криптоактивів компанії, що залишилися. Тому Декстер тепер дзвонить в BitGo, щоб спробувати обійти тривалий юридичний процес укладання контракту, який Sullivan & Cromwell розпочала з компанією. Натомість Декстер вимагає, щоб BitGo негайно створила гаманці «холодного зберігання», які надійно зберігатимуться в офлайн-середовищі, в які FTX зможе перевести всі свої кошти, що залишилися, як безпечну гавань. Декстер не відповів на запит про коментар.

BitGo каже, що приблизно через півгодини гаманці будуть готові. Співробітники FTX стурбовані тим, що це все ще занадто повільно. На той час злодії могли забрати з гаманця компанії ще сотні мільйонів доларів криптовалюти.

Хтось під час дзвінка в Google Meet запитав, чи є у когось власний апаратний гаманець, де вони можуть зберігати свої гроші до того, як BitGo буде готовий. Куманан Раманатан, консультант FTX в Alvarez & Marsall, який брав участь у дзвінку зі свого будинку в передмісті Нью-Йорка, зголосився допомогти. У нього в домашньому офісі є Ledger Nano — апаратний USB-гаманець, який він пропонує створити як тимчасовий притулок для вразливих коштів.

Приблизно о 22:30 за східним часом 11 листопада Раманатан створив новий гаманець на своєму Ledger Nano. Колишній співробітник FTX пам’ятає, як бачив, як він перевіряв і ще раз перевіряв пароль, який він створив для цього гаманця. Ван почав надсилати кошти FTX на гаманець, і незабаром Раманатан зберігав криптоактиви компанії на суму від $400 млн до $500 млн на USB-накопичувачі у своєму будинку в окрузі Вестчестер.

Пізно вночі дзвінки 911

Через кілька хвилин BitGo повідомила співробітникам FTX, що її гаманець готовий, і вони почали переводити більше сотень мільйонів доларів криптовалюти в холодне сховище BitGo замість пристрою Ledger Раманатана. Решту цієї безсонної ночі співробітники нишпорили по кожному гаманцю, де зберігалися кошти FTX, і переводили кожну монету, яку могли знайти, на BitGo. “Вони очищають всілякі системи, намагаючись з’ясувати, де знаходяться всілякі приватні ключі, де зберігаються активи”, - сказала інша людина, яка брала участь у відповіді, яка не була уповноважена говорити публічно. «Це хаос».

У той час як співробітники FTX зосередилися на тому, щоб змусити керівників схвалити ці потенційно вразливі перекази коштів, Раманатану залишилося тримати криптовалюту, яку Ван спочатку перевів на свій гаманець Ledger. Це створює дивну ситуацію, коли фізична особа фактично володіє компаніями FTX на суму приблизно півмільярда доларів, що саме по собі створює свої унікальні юридичні та безпекові ризики. Тієї ночі головний юрисконсульт FTX Райн Міллер поспішив до будинку Раманатана, щоб допомогти зберегти його. Райн Міллер відмовився коментувати цю історію, а Раманатан не відповів на запит про коментар.

О 22:59 за східним часом Раманатан зателефонував до поліції, щоб повідомити про крадіжку, що триває, і пояснив, що він зберігає велику суму коштів жертви, і попросив поліцію прийти до нього додому, щоб допомогти захистити його. Зрештою, ніхто не знав (і не знає зараз), хто вкрав інші кошти, і чи намагалися вони фізично доторкнутися до резервів, якими володів Раманатан. Згідно зі звітом поліції Нью-Рошелі, отриманим WIRED, Раманатан сказав диспетчерам 911, що «в даний час відбувається величезна атака на криптовалюту, і на цю адресу було відправлено велику суму грошей», і що він «стурбований тим, що будинок стане мішенню».

Навіть після прибуття поліції головний юрисконсульт FTX Міллер провів більшу частину ночі в будинку Раманатана. Записи про погодинну оплату праці Раманатана показують, що він і Міллер провели майже три з половиною години в його будинку приблизно з 2 до 5 ранку 12 листопада.

Ні Раманатану, ні його дому нічого не загрожувало. Фактично, коли кошти були переведені на гаманець Ledger Раманатана, крадіжка коштів з FTX припинилася. «Він пішов на величезний ризик зі своїм особистим Ledger», — сказав колишній співробітник FTX. У мене є дуже стійке відчуття, що якби ми не зробили цю книгу, то втратили б більше грошей. Зрештою, близько 5 ранку в суботу, 12 листопада, гроші з домашнього офісу Раманатана були переведені на BitGo. Зрештою, компанія володітиме капіталом FTX, що залишився, у розмірі $1,1 млрд.

Пізно ввечері в суботу Бенкман-Фрід і Ван перевели понад 400 мільйонів доларів на рахунок, що перебуває під контролем уряду Багамських островів, про що повідомляє Forbes і задокументовано в судових документах. Деякий час переказ коштів на Багамські острови здавався помилково прийнятим за крадіжку. Через тиждень після крадіжки деякі ЗМІ помилково повідомили, що вкрадені кошти насправді були конфісковані урядом Багамських островів. Як доказ протилежного, компанії з відстеження криптовалют, такі як Elliptic і Chainalysis, помітили, що частини фактично вкрадених коштів були відправлені на «змішані» сервіси, які зазвичай використовуються для відмивання грошей, такі як Railgun і крос-чейн сервіс обміну монет THORChain, типовий для злодіїв, які здійснюють великомасштабні крадіжки криптовалюти.

Ні захисту, ні дорожньої карти

Після цієї відчайдушної рятувальної операції 11 листопада нова команда, відповідальна за процедуру банкрутства FTX, публічно звинуватила в серйозних недоліках безпеки, які зробили крадіжку можливою.

У квітневому звіті, опублікованому в рамках процедури банкрутства FTX, наводяться приклади таких передбачуваних недоглядів: попередня команда FTX не мала окремого CISOO або фактичної спеціалізованої команди безпеки; Хоча співробітникам доручено публічно стверджувати, що лише до 10% криптовалют зберігаються в гарячих гаманцях (гаманцях на комп’ютерах, підключених до Інтернету), вона зберігає майже всі свої криптовалюти в гарячих гаманцях; Він залишає незашифровані ключі гаманця або не може належним чином налаштувати систему безпеки, необхідну для розблокування коштів за допомогою кількох ключів; І відсутність системи логування, яка навіть знає, хто і коли переказує гроші, серед інших проблем.

У звіті також описуються ускладнення, з якими зіткнулася нова команда FTX 11 листопада, коли команда опинилася в перший день свого перебування на посаді, щоб взяти під контроль мережу, яка сильно зламалася. «Через відсутність у FTX Group ефективного контролю для захисту криптоактивів боржники стикаються із загрозою втрати додаткових активів на мільярди доларів у будь-який час», — йдеться у звіті, використовуючи слово «боржник» для опису нової управлінської команди FTX на чолі з Реєм. «Оскільки боржникам важко ідентифікувати та отримати доступ до криптоактивів без «дорожньої карти», яка б керувала ними, боржникам довелося розробити технічні шляхи для переказу багатьох типів активів, які вони ідентифікують, у холодні гаманці».

З огляду на цей, здавалося б, заплутаний безлад у сфері безпеки та організації, можливо, не дивно, що FTX стала мішенню для найдорожчої крадіжки криптовалюти в історії. Але якби не якісь швидкі рішення, прийняті в цьому хаосі, тепер, схоже, все було б гірше.

«Це була дуже, дуже божевільна ніч, — каже колишній співробітник FTX, — і ми наполегливо працювали, щоб вирішити проблеми, виконати завдання та заощадити багато грошей наших клієнтів».