"Vụ hack kỳ quái" vào ngày FTX phá sản đã xảy ra như thế nào?

Tác giả*

Biên soạn*

Vào tối ngày 11/11 năm ngoái, nhân viên FTX đã trải qua ngày tồi tệ nhất trong lịch sử ngắn ngủi của công ty. Chỉ 10 tháng trước, công ty, vừa trở thành một trong những sàn giao dịch tiền điện tử hàng đầu trên thế giới, đã tuyên bố phá sản. Sau một thời gian dài đấu tranh, các giám đốc điều hành đã thuyết phục Giám đốc điều hành của công ty, Sam Bankman-Fried, trao quyền cho John Ray III, CEO mới hiện được giao nhiệm vụ hướng dẫn công ty thoát khỏi khoản nợ ác mộng mà công ty dường như không có phương tiện trả nợ.

FTX dường như đã chạm đáy. Cho đến khi ai đó - một hoặc nhiều tên trộm không xác định - chọn thời điểm cụ thể đó để làm cho mọi thứ tồi tệ hơn. Tối thứ Sáu tuần đó, các nhân viên FTX kiệt sức bắt đầu thấy dòng tiền điện tử bí ẩn của công ty trên Etherscan, nơi hàng trăm triệu USD đang bị đánh cắp trong thời gian thực.

“Tôi dựa vào, sau tất cả những chuyện này, chúng ta vẫn còn bị tấn công sao?” Một cựu nhân viên FTX nhớ lại rằng anh ta yêu cầu giấu tên vì không được phép nói về các vấn đề nội bộ của công ty.

Theo tài khoản riêng của FTX, công ty cuối cùng sẽ mất từ 415 triệu đến 432 triệu USD tài sản tiền điện tử do những tên trộm không rõ danh tính đó, một con số đã được xác nhận công khai như một phần của thủ tục phá sản. Điều mà FTX chưa tiết lộ trước đây là khả năng mất nhiều hơn nữa - nhân viên và cố vấn bên ngoài của họ đã vội vã chuyển hơn 1 tỷ USD tiền điện tử sang không gian lưu trữ an toàn hơn vì sợ nó bị đánh cắp bởi sự hiện diện độc hại. Thậm chí có thời điểm, còn có một cuộc tranh giành để gửi gần 500 triệu đô la vào một ổ USB vật lý trong văn phòng tư vấn để ngăn nó rơi vào tay kẻ trộm.

“Mời: Khẩn cấp”

Khi phiên tòa xét xử người sáng lập bị thất sủng của FTX, Sam Bankman-Fryed, bước sang tuần thứ hai, nhiều người trong cộng đồng tiền điện tử đang theo dõi chặt chẽ các sự kiện của tòa án để tìm bất kỳ manh mối nào về cách sàn giao dịch bị lục soát thảm khốc vài giờ sau khi rời khỏi tầm kiểm soát của ông. Câu hỏi ai đã thực hiện vụ trộm - và liệu những tên trộm là người trong nội bộ FTX hay tin tặc bên ngoài - là câu hỏi quan trọng nhất. Bí ẩn vẫn chưa được giải đáp và cả Bankman-Fried cũng như các giám đốc điều hành cấp cao khác của FTX đều không bị truy tố vì hành vi trộm cắp.

Nhưng giờ đây, WIRED có thể làm sáng tỏ các sự kiện mà FTX phải vật lộn để hạn chế thiệt hại do vụ trộm gây ra vào đêm hoảng loạn đó - cũng như ngăn chặn các vụ trộm có thể trị giá 10 con số. Đội ngũ lãnh đạo mới của FTX, dẫn đầu bởi Giám đốc điều hành mới, Ray, đã từ chối trả lời phỏng vấn về vụ việc. Nhưng WIRED đã biết được chi tiết hàng giờ về phản ứng khủng hoảng từ các hóa đơn chi tiết do công ty tái cấu trúc Alvarez &; Marsall đệ trình về vụ phá sản FTX, các cuộc phỏng vấn với các cá nhân liên quan đến phản ứng ngay lập tức với hành vi trộm cắp và phân tích blockchain do công ty theo dõi tiền điện tử Elliptic cung cấp.

Phản hồi bắt đầu vào khoảng 10 giờ tối ngày 11/11, khi Zach Dexter, Giám đốc điều hành của công ty con FTX LedgerX, gửi lời mời đến Google Meet tới hơn 20 nhân viên còn lại của FTX, luật sư phá sản, chuyên gia tư vấn và tư vấn. Chủ đề của dòng lời mời là: “Khẩn cấp”.

Một số nhân viên đã nhanh chóng tham gia cuộc gọi video Google Meet, cuối cùng đã có hàng chục người tham gia trong 12 giờ tiếp theo. Tất cả họ đều có thể thấy ví FTX của họ được làm trống trong thời gian thực trên Etherscan. Nhưng hầu như không ai biết chính xác FTX lưu trữ tiền điện tử của mình ở đâu hoặc cách họ quản lý các khóa kiểm soát các ví đó. Thông tin này chỉ nằm trong tay một nhóm nhỏ giới tinh hoa FTX, Bankman-Fried và nhóm thân cận của nó. Bankman-Fried không bao giờ xuất hiện tại cuộc họp, nhưng đồng sáng lập FTX và CTO Gary Wang đã tham gia cuộc gọi, theo các nguồn tin có mặt.

Đến thời điểm này, theo các nguồn tin, Wang không còn được nhiều người thân cận với Ray tin tưởng. Wang ban đầu đứng về phía Bankman-Fried trong vụ sụp đổ FTX và chỉ giữ khoảng cách với cựu CEO sau nhiều ngày thuyết phục từ những người khác trong công ty.

Đề xuất ban đầu của Wang trong một cuộc họp khẩn cấp rằng hành vi trộm cắp đang diễn ra có thể được ngăn chặn bằng cách thay đổi chìa khóa bảo vệ ví đang được làm trống đã không giành được sự ủng hộ của bất kỳ nhà phê bình nào. Các cựu nhân viên FTX nhớ lại cảm giác vô nghĩa vì bất cứ ai có quyền truy cập vào mạng đều có thể chỉ cần lấy chìa khóa mới và tiếp tục hành vi trộm cắp của họ. “Con cáo đã vào chuồng gà, còn phải đổi chìa khóa chuồng gà sao?” Các nhân viên cũ nhớ đã nghĩ như vậy. Wang sau đó đã nhận tội với cùng một cáo buộc hình sự mà Bankman-Fried hiện đang phải đối mặt, và không trả lời yêu cầu gửi đến luật sư của mình để bình luận.

Tuy nhiên, ngay khi cuộc gọi Google Meet bắt đầu, Dexter của LedgerX đã khám phá một cách khác để bảo vệ tiền của FTX. Một tuần trước vụ trộm, BitGo đã đàm phán với Sullivan &; Cromwell, công ty luật giám sát quá trình phá sản của FTX, để tiếp quản tài sản tiền điện tử còn lại của công ty. Vì vậy, Dexter hiện đang gọi BitGo để cố gắng bỏ qua quá trình hợp đồng pháp lý kéo dài mà Sullivan &; Cromwell đã bắt đầu với công ty. Thay vào đó, Dexter yêu cầu BitGo ngay lập tức tạo ví “kho lạnh” - sẽ được giữ an toàn trong môi trường ngoại tuyến - để FTX có thể chuyển tất cả số tiền còn lại của mình như một nơi trú ẩn an toàn. Dexter đã không trả lời yêu cầu bình luận.

BitGo nói rằng trong khoảng nửa giờ, ví sẽ sẵn sàng. Nhân viên FTX lo lắng rằng điều này vẫn còn quá chậm. Đến lúc đó, kẻ trộm có thể lấy thêm hàng trăm triệu đô la tiền điện tử từ ví của công ty.

Một người nào đó trong cuộc gọi Google Meet đã hỏi liệu có ai có ví phần cứng của riêng họ để họ có thể lưu trữ tiền của mình trước khi BitGo sẵn sàng hay không. Kumanan Ramanathan, một nhà tư vấn FTX tại Alvarez &; Marsall, người đã tham gia cuộc gọi từ nhà riêng ở ngoại ô New York, đã tình nguyện giúp đỡ. Anh ta có một Ledger Nano – một ví phần cứng USB – trong văn phòng tại nhà của mình – mà anh ta đề xuất thiết lập như một nơi trú ẩn tạm thời cho các quỹ dễ bị tổn thương.

Vào khoảng 10:30 tối ET ngày 11 tháng 11, Ramanathan đã thiết lập một ví mới trên Ledger Nano của mình. Cựu nhân viên FTX nhớ đã thấy anh ta kiểm tra và kiểm tra kỹ mật khẩu mà anh ta đã tạo cho ví đó. Wang bắt đầu gửi tiền FTX vào ví và ngay sau đó Ramanathan đã giữ tài sản tiền điện tử của công ty trị giá 400 triệu đến 500 triệu USD trên ổ USB tại nhà riêng ở hạt Westchester.

Cuộc gọi 911 đêm khuya

Vài phút sau, BitGo nói với nhân viên FTX rằng ví của họ đã sẵn sàng và họ bắt đầu chuyển thêm hàng trăm triệu USD tiền điện tử vào kho lạnh của BitGo thay vì thiết bị Ledger của Ramanathan. Trong phần còn lại của đêm không ngủ đó, các nhân viên lùng sục mọi ví nơi lưu trữ tiền của FTX và chuyển mọi đồng tiền họ có thể tìm thấy sang BitGo. “Họ đang dọn dẹp tất cả các loại hệ thống, cố gắng tìm ra tất cả các loại khóa riêng tư ở đâu, nơi lưu trữ tài sản”, một người khác tham gia vào phản hồi không được phép phát biểu công khai cho biết. “Thật hỗn loạn.”

Trong khi các nhân viên FTX tập trung vào việc yêu cầu các giám đốc điều hành phê duyệt các giao dịch chuyển tiền tiềm ẩn dễ bị tổn thương này, Ramanathan bị bỏ lại để giữ tiền điện tử mà Wang ban đầu đã chuyển vào ví Ledger của mình. Điều này tạo ra một tình huống kỳ lạ khi một cá nhân thực sự sở hữu các công ty FTX trị giá khoảng nửa tỷ USD, bản thân nó cũng đặt ra những rủi ro pháp lý và bảo mật độc đáo của riêng mình. Đêm đó, cố vấn chung của FTX, Ryne Miller, đã vội vã đến nhà Ramanathan để giúp giữ nó. Ryne Miller từ chối bình luận về câu chuyện và Ramanathan không trả lời yêu cầu bình luận.

Vào lúc 10:59 tối ET, Ramanathan gọi cảnh sát để báo cáo vụ trộm đang diễn ra và giải thích rằng anh ta đang giữ một số tiền lớn của nạn nhân và yêu cầu cảnh sát đến nhà anh ta để giúp bảo vệ nó. Rốt cuộc, không ai biết (hoặc bây giờ biết) ai đã đánh cắp các khoản tiền khác, và liệu họ có thể đã cố gắng chạm vào các khoản dự trữ mà Ramanathan nắm giữ hay không. Theo một báo cáo của cảnh sát từ Sở cảnh sát New Rochelle, Ramanathan nói với các nhân viên điều phối 911 rằng “hiện tại có một cuộc tấn công tiền điện tử lớn đang diễn ra và một số tiền lớn đã được gửi đến địa chỉ này” và anh ta “lo ngại rằng ngôi nhà sẽ là mục tiêu”.

Ngay cả sau khi cảnh sát đến, cố vấn pháp lý chính của FTX, Miller, đã dành phần lớn thời gian qua đêm tại nhà của Ramanathan. Hồ sơ phí hàng giờ của Ramanathan cho thấy anh và Miller đã dành gần ba tiếng rưỡi tại nhà từ khoảng 2 giờ sáng đến 5 giờ sáng ngày 12/11.

Ramanathan hoặc nhà của anh ta không bị đe dọa đáng kể. Trên thực tế, khi tiền được chuyển vào ví Ledger của Ramanathan, hành vi trộm cắp tiền từ FTX đã dừng lại. “Anh ấy đã chấp nhận rủi ro rất lớn với Ledger cá nhân của mình”, cựu nhân viên FTX nói. Tôi có một cảm giác rất mạnh mẽ rằng nếu chúng tôi không thực hiện Ledger này, chúng tôi sẽ mất nhiều tiền hơn. Cuối cùng, khoảng 5 giờ sáng thứ Bảy, ngày 12 tháng 11, tiền từ văn phòng tại nhà của Ramanathan đã được chuyển đến BitGo. Công ty cuối cùng sẽ nắm giữ số vốn FTX còn lại là 1,1 tỷ USD.

Cuối ngày thứ Bảy, Bankman-Fried và Wang đã chuyển hơn 400 triệu đô la vào một tài khoản dưới sự kiểm soát của chính phủ Bahamas để giữ an toàn, theo báo cáo của Forbes và được ghi lại trong các tài liệu của tòa án. Trong một thời gian, việc chuyển tiền đến Bahamas dường như bị nhầm lẫn với hành vi trộm cắp. Một tuần sau vụ trộm, một số phương tiện truyền thông đã báo cáo sai rằng các khoản tiền bị đánh cắp thực sự đã bị chính phủ Bahamas tịch thu. Bằng chứng ngược lại, các công ty theo dõi tiền điện tử như Elliptic và Chainalysis đã quan sát thấy rằng các phần của số tiền bị đánh cắp thực tế đã được gửi đến các dịch vụ “hỗn hợp” thường được sử dụng để rửa tiền, chẳng hạn như Railgun và dịch vụ trao đổi tiền xu chuỗi chéo THORChain, điển hình của những tên trộm thực hiện hành vi trộm cắp tiền điện tử quy mô lớn.

Không bảo vệ, không lộ trình

Kể từ chiến dịch giải cứu tuyệt vọng đó vào ngày 11/11, nhóm mới phụ trách thủ tục phá sản của FTX đã công khai cáo buộc về các lỗ hổng bảo mật nghiêm trọng khiến hành vi trộm cắp có thể xảy ra.

Một báo cáo vào tháng 4 được công bố như một phần của thủ tục phá sản của FTX đã trích dẫn các ví dụ về những sơ suất bị cáo buộc như vậy: nhóm FTX trước đó không có CISOO riêng biệt hoặc nhóm bảo mật chuyên trách thực sự; Mặc dù nhân viên được hướng dẫn tuyên bố công khai rằng chỉ có tối đa 10% tiền điện tử được lưu trữ trong ví nóng (ví trên máy tính được kết nối với internet), nhưng nó giữ gần như tất cả các loại tiền điện tử của mình trong ví nóng; Nó để lại các khóa ví không được mã hóa hoặc không thiết lập đúng hệ thống bảo mật cần thiết để mở khóa tiền bằng nhiều khóa; Và việc thiếu một hệ thống ghi nhật ký thậm chí biết ai đang chuyển tiền và khi nào, trong số các vấn đề khác.

Báo cáo cũng mô tả những phức tạp mà nhóm FTX mới phải đối mặt vào ngày 11/11, khi nhóm này thấy mình vào ngày đầu tiên của nhiệm kỳ để tiếp quản một mạng lưới đã bị hỏng nặng. “Do FTX Group thiếu các biện pháp kiểm soát hiệu quả để bảo vệ tài sản tiền điện tử, các con nợ phải đối mặt với nguy cơ mất hàng tỷ USD tài sản bổ sung bất cứ lúc nào”, báo cáo viết, sử dụng từ “con nợ” để mô tả đội ngũ quản lý FTX mới do Ray dẫn đầu. “Khi con nợ đấu tranh để xác định và truy cập tài sản tiền điện tử mà không có ‘lộ trình’ để hướng dẫn họ, con nợ đã phải đưa ra các con đường kỹ thuật để chuyển nhiều loại tài sản mà họ xác định vào ví lạnh.”

Với sự lộn xộn về bảo mật và tổ chức rõ ràng khó hiểu này, có lẽ không có gì đáng ngạc nhiên khi FTX bị nhắm mục tiêu cho hành vi trộm cắp tiền điện tử tốn kém nhất trong lịch sử. Nhưng nếu không có một số quyết định nhanh chóng được đưa ra trong sự hỗn loạn đó, thì bây giờ có vẻ như nó sẽ tồi tệ hơn.

“Đó là một đêm rất, rất điên rồ”, cựu nhân viên FTX nói, “và chúng tôi đã làm việc chăm chỉ để giải quyết vấn đề, hoàn thành công việc và tiết kiệm rất nhiều tiền của khách hàng”.