WIRED: 調查FTX破產當天的“離奇黑客事件”
原文作者:Wired
原文編譯:吳說區塊鏈
去年11 月11 日的傍晚,FTX 的員工已經經歷了該公司短暫歷史中最糟糕的一天。僅僅10 個月前,這家剛成為全球頂級加密貨幣交易所之一的公司便宣布破產。經過長時間的努力,高層說服了該公司的執行長Sam Bankman-Fried 將權力交給John Ray III,這位新的執行長現在的任務是引導公司走出一片令人噩夢般的債務困境,而公司似乎沒有償還這些債務的手段。
FTX 似乎已經跌入谷底。直到某個人——一個或多個尚未確定身份的竊賊——選擇了那個特定時刻,讓事情變得更糟。那個週五傍晚,疲憊不堪的FTX 員工開始在Etherscan 上看到公司加密貨幣的神秘流出,數以億計美元的加密貨幣正即時被盜。
「我靠,經過這一切,我們還被駭了嗎?」一位前FTX 員工回憶說,他要求不具名,因為他沒有被授權談論公司內部事務。
根據FTX 自己的帳目,該公司最終將因那些未知竊賊而損失4.15 億至4.32 億美元的加密貨幣資產,這一數字已作為其破產程序的一部分被公開確認。 FTX 以前沒有透露的是,它有多接近可能損失更多——其員工和外部顧問急忙將超過10 億美元的加密貨幣轉移到更安全的存儲空間,以免其被惡意存在竊取。甚至一度爭先恐後地向一位顧問辦公室的實體USB 硬盤發送近5 億美元,以防止其落入竊賊之手。
“邀請:緊急”
隨著FTX 不光彩的創始人Sam Bankman-Fried 的審判進入第二週,加密貨幣社區的許多人都在密切關注法庭事件,以獲取任何關於交易所是如何在離開他的控制幾小時後就被如此災難性地洗劫一空的線索。誰進行了那次盜竊——以及盜賊是FTX 的內部人還是外部黑客——這個問題最為關鍵。這個謎團尚未解開,Bankman-Fried 和其他FTX 高級執行官都沒有因那次盜竊而被起訴。
但現在,WIRED 可以揭示FTX 在那個恐慌的夜晚努力限制盜竊造成的損害的事件——以及阻止可能是價值10 位數的盜竊案。新的FTX 領導團隊在其新CEO Ray 的領導下,拒絕接受關於這起事件的採訪。但WIRED 從重組公司Alvarez Marsall 提交的關於FTX 破產案的詳細發票、參與對盜竊做出即時反應的個人的採訪,以及加密貨幣追踪公司Elliptic 提供的區塊鏈分析中了解了危機應對的逐時細節。
這項應對開始於11 月11 日晚上10 點左右,當時FTX 子公司LedgerX 的執行長Zach Dexter 向FTX 剩餘的20 多名員工、破產律師、顧問和顧問發送了一個Google Meet 的邀請。邀請的一行主題是:「緊急」。
少數幾名員工很快就加入了那個Google Meet 視頻通話,該通話在接下來的12 小時內最終會有數十名參與者。他們都能在Etherscan 上即時看到FTX 錢包被清空。但幾乎沒有人知道FTX 究竟在哪裡存放其加密貨幣,或是如何管理控制那些錢包的金鑰。這些資訊只由一小群FTX 精英——Bankman-Fried 及其核心圈掌握。據在場的消息來源稱,Bankman-Fried 從未出現在會議中,但FTX 聯合創始人和首席技術官Gary Wang 加入了通話。
消息人士稱,到這時,Wang 已經不再受到接近Ray 的許多人的信任。在FTX 崩潰的過程中,Wang 最初是站在Bankman-Fried 這邊的,只有在公司內部其他人幾天的勸說後,他才與前CEO 保持了距離。
Wang 在緊急會議中最初提出,通過簡單地更改保護正在被清空的錢包的密鑰,即可阻止正在進行的盜竊,這一點並沒有贏得他的任何批評者的支持。前FTX 員工記得自己當時覺得這樣做毫無意義,因為無論是誰獲得了網路存取權限,都可以簡單地抓取新的密鑰並繼續進行他們的盜竊。 「狐狸已經進了雞舍,你還要去更換雞舍的鑰匙?」前員工記得自己當時是這麼想的。 Wang 後來對Bankman-Fried 現在面臨的相同的刑事指控認罪,對發送給他的律師的評論請求沒有回應。
然而,就在Google Meet 通話開始的時候,LedgerX 的Dexter 已經開始探索一種不同的方法來保護FTX 的資金。在竊盜發生的前一周,數字資產信託公司BitGo 一直在與負責監管FTX 破產流程的律師事務所Sullivan Cromwell 談判,以接管該公司剩餘的加密貨幣資產。因此,Dexter 現在打電話給BitGo,試圖繞過Sullivan Cromwell 與該公司開始的漫長的法律合約流程。相反,Dexter 要求BitGo 立即創建「冷儲存」錢包——這些錢包將被安全地保管在離線環境中——FTX 可以將其所有剩餘的資金作為一個安全的避風港轉移到這些錢包中。 Dexter 沒有回應評論請求。
BitGo 表示,大約半小時後,這些錢包就可以準備好。 FTX 的員工擔心這還是太慢了。到那時,盜賊可能會從該公司的錢包中再拿走數億美元的加密貨幣。
Google Meet 通話中有人問,是否有人有自己的硬件錢包,可以在BitGo 準備好之前將錢存放在那裡。從紐約郊區的家中參與通話的Alvarez Marsall 的FTX 顧問Kumanan Ramanathan 自願提供協助。他在自己家裡的辦公室有一個Ledger Nano——一個USB 硬件錢包——他提議將其設置為易受攻擊的資金的臨時避風港。
11 月11 日美東時間晚上大約10: 30 ,Ramanathan 在他的Ledger Nano 上設置了一個新錢包。前FTX 員工記得看到他檢查並再次檢查他為該錢包創建的密碼。 Wang 開始將FTX 的資金發送到這個錢包,很快,Ramanathan 在他位於威斯徹斯特縣家中的USB 驅動器上持有了該公司價值4 億至5 億美元的加密資產。
深夜911 電話
幾分鐘後,BitGo 告訴FTX 的員工其錢包已經準備好,他們開始將更多數億美元的加密貨幣轉移到BitGo 的冷存儲,而不是Ramanathan 的Ledger 設備。在那個不眠之夜的其餘時間裡,員工們搜尋了FTX 資金存放的每一個錢包,並將他們能找到的每一枚硬幣轉移到BitGo。 「他們正在清理各種系統,試圖找到各種私鑰在哪裡,資產在哪裡存放,」參與應對工作的另一名未獲授權公開發言的人說。 “一片混亂。”
當FTX 的員工集中精力讓高階主管批准這些潛在易受攻擊的資金轉帳時, Ramanathan 被留下來持有Wang 最初轉移到他的Ledger 錢包的加密貨幣。這造成了一種奇怪的局面,即一個個體實際上擁有FTX 公司價值約五億美元的資金,這本身就帶來了其獨特的法律和安全風險。那個晚上,FTX 的總法律顧問Ryne Miller 匆匆趕到Ramanathan 的家以幫助保管它。 Ryne Miller 拒絕對這個故事發表評論,Ramanathan 也沒有回應評論請求。
美國東部時間晚上10: 59 ,Ramanathan 打電話給警察報告正在進行的盜竊,並解釋他正在持有受害者大量的資金,要求警察來到他的家中幫助保護它。畢竟,當時還沒有人知道(或現在知道)是誰竊取了其他資金,以及他們是否可能嘗試物理接觸Ramanathan 持有的儲備。由WIRED 獲得的來自New Rochelle 警察局的警方報告顯示,Ramanathan 告訴911 調度員,“目前正在發生一起巨大的加密貨幣襲擊,有大量的錢被發送到這個地址”,他“擔心這個房子將成為一個目標」。
即使在警察到達後,FTX 的總法務顧問Miller 仍然在Ramanathan 家待了大部分的夜晚。 Ramanathan 的計時費用記錄顯示,他和Miller 從11 月12 日凌晨2 點左右到凌晨5 點,在他的家中待了近三個半小時。
Ramanathan 或他的家並沒有受到任何實質性的威脅。實際上,當資金轉移到Ramanathan 的Ledger 錢包時,從FTX 的資金竊取就已經停止了。 「他用個人的Ledger 冒了巨大的風險,」前FTX 員工說,「他太牛了。我有強烈的感覺,如果我們沒有做這個Ledger 的噱頭,我們會損失更多的錢。」最終,在11 月12 日,週六凌晨5 點左右,Ramanathan 家中辦公室的錢被轉移到了BitGo。該公司最終將持有剩餘的FTX 資金11 億美元。
週六晚些時候,Bankman-Fried 和Wang 又將超過4 億美元的資金轉移到了巴哈馬政府控制下的帳戶以供保管,這一點被福布斯報道並在法庭文件中有記錄。有一段時間,將資金轉移到巴哈馬的行為似乎被誤認為是盜竊行為本身。竊盜發生一週後,一些媒體錯誤地報告說,被盜的資金實際上已被巴哈馬政府沒收。作為相反證據,加密貨幣追踪公司如Elliptic 和Chainalysis 觀察到實際被盜資金的部分被發送到常用於洗錢的“混幣”服務,如Railgun 和跨鏈幣交換服務THORChain,這是執行大規模加密貨幣盜竊的竊賊典型的行為。
沒有防護,無路線圖
自從11 月11 日那場令人絕望的救援行動以來,負責FTX 破產程序的新團隊公開指控了導致盜竊成為可能的嚴重安全缺陷。
一份作為FTX 破產程序一部分而發布的4 月報告列舉了這種所謂的疏忽的例子:先前的FTX 團隊沒有獨立的首席資訊安全官或實際的專門安全團隊;儘管員工被指示公開聲稱只有最多10 % 的加密貨幣存放在熱錢包(連接到互聯網的電腦上的錢包)中,但它幾乎把所有的加密貨幣都存放在熱錢包中;它留下了未加密的錢包密鑰或未能正確設置多個密鑰解鎖資金所需的安全系統;並且缺乏甚至知道誰何時在轉移資金的日誌系統,等等其他問題。
該報告還描述了新的FTX 團隊在11 月11 日面臨的複雜局面,當時,這個團隊第一天上任,就發現自己接手了一個已經嚴重崩潰的網絡。 「由於FTX 集團缺乏保護加密資產的有效控制,債務人面臨著隨時可能失去數十億美元額外資產的威脅,」報告寫道,用『債務人』這個詞來描述由Ray 領導的新FTX 管理團隊。 「由於債務人在沒有『路線圖』來引導他們的情況下努力識別和訪問加密資產,債務人不得不設計技術路徑來將他們識別到的許多類型的資產轉移到冷錢包中。”
鑑於這種明顯混亂的安全性和組織混亂,FTX 成為歷史上成本最高的加密貨幣盜竊事件的目標也許並不令人驚訝。但如果不是在那種混亂中做出了一些快速的決定,現在看來,情況可能會更糟。
「那是一個非常非常瘋狂的夜晚,」前FTX 員工說,「我們努力解決了問題,完成了任務,並保存了大量客戶的錢。
