WIRED: Điều tra “vụ hack kỳ lạ” vào ngày FTX phá sản
Tác giả gốc: Wired
Biên soạn gốc: Wu Shuo Blockchain
Vào tối ngày 11 tháng 11 năm ngoái, các nhân viên FTX đã trải qua ngày tồi tệ nhất trong lịch sử ngắn ngủi của công ty. Chỉ 10 tháng trước, công ty vừa trở thành một trong những sàn giao dịch tiền điện tử hàng đầu thế giới đã tuyên bố phá sản. Sau một thời gian dài nỗ lực, các giám đốc điều hành đã thuyết phục được Giám đốc điều hành của công ty, Sam Bankman-Fried, giao lại quyền điều hành cho John Ray III, người hiện đang được giao nhiệm vụ lèo lái công ty thoát khỏi cơn ác mộng nợ nần, và công ty dường như không còn cơ hội nào nữa. phương tiện để trả các khoản nợ này.
FTX dường như đã chạm đáy. Cho đến khi ai đó - một hoặc nhiều tên trộm vẫn chưa xác định được danh tính - chọn thời điểm cụ thể đó để khiến mọi việc trở nên tồi tệ hơn. Tối thứ Sáu hôm đó, các nhân viên FTX kiệt sức bắt đầu nhận thấy dòng tiền bí ẩn của công ty chảy ra trên Etherscan, khi hàng trăm triệu đô la tiền điện tử bị đánh cắp trong thời gian thực.
“Chúa ơi, sau tất cả những điều này, chúng ta có bị hack không?” một cựu nhân viên FTX nhớ lại, người yêu cầu giấu tên vì không được phép nói về các vấn đề nội bộ của công ty.
Theo tài khoản riêng của FTX, công ty cuối cùng sẽ mất từ 415 triệu đến 432 triệu đô la tài sản tiền điện tử vào tay những tên trộm không rõ danh tính, một con số đã được xác nhận công khai như một phần của thủ tục phá sản. Điều mà FTX chưa tiết lộ trước đây là khả năng mất nhiều tiền hơn đến mức nào – với việc các nhân viên và cố vấn bên ngoài của họ đang cố gắng chuyển hơn 1 tỷ USD tiền điện tử sang bộ lưu trữ an toàn hơn, nơi nó không thể bị các thực thể độc hại đánh cắp. Thậm chí còn có vụ tranh giành gửi gần 500 triệu USD vào ổ USB vật lý tại văn phòng của một nhà tư vấn để ngăn nó rơi vào tay kẻ trộm.
Lời mời: Khẩn cấp
Khi phiên tòa xét xử người sáng lập bị thất sủng của FTX, Sam Bankman-Fried bước sang tuần thứ hai, nhiều người trong cộng đồng tiền điện tử đang theo dõi chặt chẽ các thủ tục tố tụng của tòa án để có cái nhìn sâu sắc về cách sàn giao dịch bị tịch thu chỉ vài giờ sau khi rời khỏi quyền kiểm soát của ông. Câu hỏi quan trọng là ai đã thực hiện vụ trộm và liệu những kẻ trộm là nội bộ của FTX hay tin tặc bên ngoài. Bí ẩn vẫn chưa được giải đáp và cả Bankman-Fried lẫn các giám đốc điều hành cấp cao khác của FTX đều không bị buộc tội liên quan đến vụ trộm đó.
Nhưng bây giờ, WIRED có thể làm sáng tỏ những nỗ lực của FTX nhằm hạn chế thiệt hại do vụ trộm gây ra trong đêm hoảng loạn đó – và ngăn chặn những gì có thể là vụ trộm 10 con số. Đội ngũ lãnh đạo mới của FTX, do Giám đốc điều hành mới Ray dẫn đầu, đã từ chối phỏng vấn về câu chuyện này. Nhưng WIRED đã có được cái nhìn chi tiết từng phút về phản ứng khủng hoảng từ các hóa đơn chi tiết do công ty tái cơ cấu Alvarez Marsall đệ trình liên quan đến vụ phá sản FTX, các cuộc phỏng vấn với các cá nhân liên quan đến phản ứng ngay lập tức đối với hành vi trộm cắp và phân tích chuỗi khối do theo dõi tiền điện tử cung cấp chi tiết hình elip chắc chắn.
Phản hồi bắt đầu vào khoảng 10 giờ tối ngày 11 tháng 11, khi Zach Dexter, Giám đốc điều hành của công ty con LedgerX của FTX, gửi lời mời Google Meet tới hơn 20 nhân viên, luật sư phá sản, cố vấn và cố vấn còn lại của FTX. Chủ đề một dòng của lời mời là: Khẩn cấp.
Một số nhân viên đã nhanh chóng tham gia cuộc gọi video trên Google Meet đó và cuộc gọi video này đã thu hút hàng chục người tham gia trong 12 giờ tiếp theo. Tất cả họ đều có thể thấy ví FTX bị trống trong thời gian thực trên Etherscan. Nhưng hầu như không ai biết chính xác FTX lưu trữ tiền điện tử của mình ở đâu hoặc cách nó quản lý các khóa kiểm soát những chiếc ví đó. Thông tin này chỉ được nắm giữ bởi một nhóm nhỏ giới thượng lưu FTX - Bankman-Fried và vòng trong của anh ta. Theo các nguồn tin có mặt, Bankman-Fried chưa bao giờ xuất hiện trong cuộc họp, nhưng đồng sáng lập FTX và CTO Gary Wang đã tham gia cuộc họp.
Đến thời điểm này, nguồn tin cho biết, Wang không còn được nhiều người thân cận với Ray tin tưởng nữa. Ban đầu, Wang đứng về phía Bankman-Fried trong sự thất bại của FTX và chỉ giữ khoảng cách với cựu CEO sau nhiều ngày thuyết phục từ những người khác trong công ty.
Wang đã không thuyết phục được bất kỳ người chỉ trích nào khi ban đầu anh ấy đề xuất trong cuộc họp khẩn cấp rằng vụ trộm đang diễn ra có thể được ngăn chặn bằng cách chỉ cần thay đổi chìa khóa bảo vệ những chiếc ví đang trống rỗng. Các cựu nhân viên của FTX nhớ lại cảm giác làm như vậy chẳng ích gì vì bất kỳ ai có quyền truy cập vào mạng đều có thể chỉ cần lấy chìa khóa mới và tiếp tục hành vi trộm cắp của mình. “Cáo đã vào chuồng gà, còn phải đổi chìa khóa chuồng gà?”, cựu nhân viên nhớ lại suy nghĩ lúc đó. Wang, người sau đó đã nhận tội với những cáo buộc hình sự tương tự mà Bankman-Fried hiện phải đối mặt, đã không trả lời yêu cầu bình luận được gửi đến luật sư của mình.
Tuy nhiên, vào thời điểm cuộc gọi Google Meet bắt đầu, Dexter của LedgerX đã bắt đầu khám phá một cách tiếp cận khác để bảo vệ tiền của FTX. Trong tuần trước vụ trộm, quỹ tín thác tài sản kỹ thuật số BitGo đã đàm phán với Sullivan Cromwell, công ty luật giám sát quá trình phá sản của FTX, để tiếp quản tài sản tiền điện tử còn lại của công ty. Vì vậy, Dexter hiện đang kêu gọi BitGo trong nỗ lực bỏ qua quá trình hợp đồng pháp lý kéo dài mà Sullivan Cromwell đã bắt đầu với công ty. Thay vào đó, Dexter yêu cầu BitGo ngay lập tức tạo ví “kho lạnh” – ví sẽ được giữ an toàn trong môi trường ngoại tuyến – để FTX có thể chuyển tất cả số tiền còn lại của mình làm nơi trú ẩn an toàn. Dexter đã không trả lời yêu cầu bình luận.
BitGo cho biết ví sẽ sẵn sàng sau khoảng nửa giờ. Nhân viên FTX lo lắng rằng tốc độ này vẫn còn quá chậm. Đến lúc đó, kẻ trộm có thể đã lấy thêm hàng trăm triệu đô la tiền điện tử từ ví của công ty.
Một người nào đó trong cuộc gọi Google Meet đã hỏi liệu có ai có ví phần cứng riêng để họ có thể lưu trữ tiền cho đến khi BitGo sẵn sàng hay không. Kumanan Ramanathan, cố vấn FTX của Alvarez Marsall, người đã tham gia cuộc gọi từ nhà riêng ở ngoại ô New York, đã tình nguyện giúp đỡ. Anh ấy có Ledger Nano – một ví phần cứng USB – trong văn phòng tại nhà mà anh ấy đề xuất thiết lập như một nơi trú ẩn an toàn tạm thời cho các khoản tiền dễ bị tổn thương.
Vào khoảng 10:30 tối EST ngày 11 tháng 11, Ramanathan đã thiết lập một ví mới trên Ledger Nano của mình. Cựu nhân viên FTX nhớ đã nhìn thấy anh ta kiểm tra đi kiểm tra lại mật khẩu mà anh ta đã tạo cho ví. Wang bắt đầu gửi tiền FTX vào ví và ngay sau đó Ramanathan đã nắm giữ số tài sản tiền điện tử trị giá 400 triệu đến 500 triệu đô la của công ty trên một ổ USB tại nhà ở Quận Westchester của anh ấy.
Cuộc gọi 911 vào đêm khuya
Vài phút sau, BitGo nói với nhân viên FTX rằng ví của họ đã sẵn sàng và họ bắt đầu chuyển hàng trăm triệu đô la tiền điện tử sang kho lạnh của BitGo thay vì thiết bị Ledger của Ramanathan. Trong thời gian còn lại của đêm mất ngủ đó, các nhân viên đã lùng sục từng ví tiền FTX được lưu trữ và chuyển mọi đồng tiền họ có thể tìm thấy sang BitGo. Một người khác tham gia phản hồi nhưng không được phép phát biểu công khai cho biết: “Họ đang dọn dẹp các hệ thống khác nhau, cố gắng tìm ra các khóa riêng khác nhau ở đâu, nơi lưu trữ tài sản”. Đó là một mớ hỗn độn.
Trong khi các nhân viên của FTX tập trung vào việc thuyết phục các giám đốc điều hành phê duyệt các giao dịch chuyển tiền dễ bị tổn thương này thì Ramanathan vẫn giữ số tiền điện tử mà Wang ban đầu chuyển vào ví Ledger của mình. Điều này tạo ra một tình huống kỳ lạ, trong đó một cá nhân thực sự sở hữu các công ty FTX trị giá khoảng nửa tỷ đô la, bản thân công ty này mang lại những rủi ro pháp lý và bảo mật riêng. Đêm đó, tổng cố vấn FTX Ryne Miller đã vội vã đến nhà Ramanathan để giúp bảo vệ nó. Ryne Miller từ chối bình luận về câu chuyện này và Ramanathan không trả lời yêu cầu bình luận.
Lúc 10:59 tối theo giờ ET, Ramanathan gọi cảnh sát để báo cáo vụ trộm đang diễn ra và giải thích rằng anh ta đang giữ một lượng lớn tiền của nạn nhân và yêu cầu cảnh sát đến nhà anh ta để giúp bảo đảm. Rốt cuộc, không ai biết vào thời điểm đó (hoặc bây giờ biết) ai đã đánh cắp các khoản tiền khác và liệu họ có thể đã cố gắng truy cập vật lý vào kho dự trữ do Ramanathan nắm giữ hay không. Một báo cáo của cảnh sát từ Sở cảnh sát New Rochelle, do WIRED thu được, cho thấy Ramanathan đã nói với người điều phối 911 rằng “hiện đang có một cuộc tấn công tiền điện tử lớn đang diễn ra với rất nhiều tiền được gửi đến địa chỉ này” và anh ấy “lo ngại”. rằng ngôi nhà này sẽ trở thành Mục tiêu.
Ngay cả sau khi cảnh sát đến, Miller, cố vấn chung của FTX, vẫn ở nhà Ramanathan suốt đêm. Hồ sơ chấm công của Ramanathan cho thấy anh và Miller đã dành gần 3 tiếng rưỡi tại nhà riêng từ khoảng 2 giờ sáng đến 5 giờ sáng ngày 12/11.
Không có mối đe dọa vật chất nào đối với Ramanathan hoặc nhà của anh ta. Trên thực tế, hành vi trộm tiền từ FTX đã dừng lại khi tiền được chuyển vào ví Ledger của Ramanathan. Cựu nhân viên FTX cho biết: Anh ấy đã gặp rủi ro rất lớn với Sổ cái cá nhân của mình. Anh ấy thật tuyệt vời. Tôi có cảm giác mạnh mẽ rằng nếu không thực hiện mánh lới quảng cáo Sổ cái này, chúng tôi sẽ mất nhiều tiền hơn. , vào khoảng 5 giờ sáng thứ Bảy, ngày 12 tháng 11, tiền từ văn phòng tại nhà của Ramanathan đã được chuyển đến BitGo. Công ty cuối cùng sẽ nắm giữ 1,1 tỷ USD trong số quỹ FTX còn lại.
Cuối ngày thứ Bảy, Bankman-Fried và Wang đã chuyển hơn 400 triệu USD vào các tài khoản do chính phủ Bahamian kiểm soát để bảo quản an toàn, theo báo cáo của Forbes và được ghi lại trong các tài liệu của tòa án. Trong một thời gian, có vẻ như hành động chuyển tiền đến Bahamas đã bị nhầm lẫn với hành vi trộm cắp. Một tuần sau vụ trộm, một số phương tiện truyền thông đưa tin không chính xác rằng số tiền bị đánh cắp thực sự đã bị chính phủ Bahamian tịch thu. Để chứng minh điều ngược lại, các công ty theo dõi tiền điện tử như Elliptic và Chainalysis đã quan sát thấy một phần số tiền bị đánh cắp thực sự được gửi đến các dịch vụ trộn tiền xu thường được sử dụng để rửa tiền, chẳng hạn như Railgun và dịch vụ trao đổi tiền xu xuyên chuỗi THORChain, hoạt động với quy mô lớn. -scale tiền điện tử Hành vi điển hình của những tên trộm ăn cắp.
Không có sự bảo vệ, không có bản đồ đường đi
Kể từ chiến dịch giải cứu tuyệt vọng vào ngày 11 tháng 11, nhóm mới giám sát thủ tục phá sản của FTX đã công khai cáo buộc các sai sót bảo mật nghiêm trọng khiến vụ trộm có thể xảy ra.
Một báo cáo tháng 4 được công bố như một phần của thủ tục phá sản của FTX đã trích dẫn các ví dụ về cáo buộc giám sát này: Nhóm FTX trước đây không có giám đốc an ninh thông tin độc lập hoặc một nhóm bảo mật chuyên trách thực sự; mặc dù các nhân viên được hướng dẫn công khai tuyên bố rằng chỉ có tối đa 10% tiền điện tử được giữ trong ví nóng (ví trên máy tính kết nối internet), nhưng nó chứa hầu hết tất cả tiền điện tử trong ví nóng; nó khiến các khóa ví không được mã hóa hoặc không được thiết lập chính xác Hệ thống bảo mật cần có nhiều khóa để mở khóa và thiếu hệ thống ghi nhật ký để biết ai đang chuyển tiền khi nào, cùng với các vấn đề khác.
Báo cáo cũng mô tả tình huống phức tạp mà nhóm FTX mới phải đối mặt vào ngày 11 tháng 11, khi vào ngày đầu tiên làm việc, nhóm nhận thấy mình đang thừa hưởng một mạng vốn đã bị hỏng nghiêm trọng. Báo cáo viết: “Do Tập đoàn FTX thiếu các biện pháp kiểm soát hiệu quả để bảo vệ tài sản tiền điện tử, Bên nợ phải đối mặt với nguy cơ mất hàng tỷ đô la tài sản bổ sung bất cứ lúc nào”. do Ray lãnh đạo. “Khi con nợ gặp khó khăn trong việc xác định và truy cập tài sản tiền điện tử mà không có ‘lộ trình’ hướng dẫn họ, con nợ phải nghĩ ra các con đường kỹ thuật để chuyển nhiều loại tài sản mà họ đã xác định được vào ví lạnh.”
Với sự vô tổ chức rõ ràng về an ninh và tổ chức này, có lẽ không có gì ngạc nhiên khi FTX là mục tiêu của vụ trộm tiền điện tử tốn kém nhất trong lịch sử. Nhưng nếu một số quyết định nhanh chóng không được đưa ra giữa sự hỗn loạn đó thì giờ đây có vẻ như mọi chuyện đã có thể tồi tệ hơn nhiều.
Cựu nhân viên FTX cho biết: “Đó là một đêm rất điên rồ. Chúng tôi đã cố gắng, hoàn thành công việc và tiết kiệm được rất nhiều tiền cho khách hàng.
