WIRED: 調查 FTX 破產當天的“離奇黑客事件”
原文標題:Inside FTX's All-Night Race to Stop a $1 Billion Crypto Heist
原文作者:Wired
原文編譯:吳說區塊鏈
去年 11 月 11 日的傍晚, FTX 的員工已經經歷了該公司短暫歷史中最糟糕的一天。僅僅 10 個月前,這家剛剛成為全球頂級加密貨幣交易所之一的公司便宣布破產。經過長時間的努力,高管們說服了該公司的首席執行官 Sam Bankman-Fried 將權力交給 John Ray III,這位新的首席執行官現在的任務是引導公司走出一片令人噩夢般的債務困境,而公司似乎沒有償還這些債務的手段。
FTX 似乎已經跌入谷底。直到某個人------一個或多個尚未確定身份的竊賊------選擇了那個特定時刻,讓事情變得更糟。那個周五傍晚,疲憊不堪的 FTX 員工開始在 Etherscan 上看到公司加密貨幣的神秘流出,數以億計美元的加密貨幣正實時被盜。
"我靠,經過這一切,我們還被黑了嗎?"一位前 FTX 員工回憶說,他要求不具名,因為他沒有被授權談論公司內部事務。
根據 FTX 自己的帳目,該公司最終將因那些未知竊賊而損失 4.15 億至 4.32 億美元的加密貨幣資產,這一數字已作為其破產程序的一部分被公開確認。FTX 以前沒有透露的是,它有多接近可能損失更多------其員工和外部顧問急忙將超過 10 億美元的加密貨幣轉移到更安全的存儲空間,以免其被惡意存在竊取。甚至一度爭先恐後地向一位顧問辦公室的物理 USB 驅動器發送近 5 億美元,以防止其落入竊賊之手。
"邀請:緊急"
隨著 FTX 不光彩的創始人 Sam Bankman-Fried 的審判進入第二周,加密貨幣社區的許多人都在密切關注法庭事件,以獲取任何關於交易所是如何在離開他的控制幾小時後就被如此災難性地洗劫一空的線索。誰進行了那次盜竊------以及竊賊是 FTX 的內部人還是外部黑客------這個問題最為關鍵。這個謎尚未解開,Bankman-Fried 和其他 FTX 高級執行官都沒有因那次盜竊而被起訴。
但現在,WIRED 可以揭示 FTX 在那個恐慌的夜晚努力限制盜竊造成的損害的事件------以及阻止可能是價值 10 位數的盜竊案。新的 FTX 領導團隊在其新 CEO Ray 的領導下,拒絕接受關於這一事件的採訪。但 WIRED 從重組公司 Alvarez \& Marsall 提交的關於 FTX 破產案的詳細發票、參與對盜竊做出即時反應的個人的採訪,以及加密貨幣追蹤公司 Elliptic 提供的區塊鏈分析中了解了危機應對的逐時細節。
這一應對開始於 11 月 11 日晚上 10 點左右,當時 FTX 子公司 LedgerX 的首席執行官 Zach Dexter 向 FTX 剩餘的 20 多名員工、破產律師、顧問和諮詢師發送了一個 Google Meet 的邀請。邀請的一行主題是:"緊急"。
少數幾名員工很快加入了那個 Google Meet 視頻通話,該通話在接下來的 12 小時內最終會有數十名參與者。他們都能在 Etherscan 上實時看到 FTX 錢包被清空。但幾乎沒有人知道 FTX 究竟在哪裡存放其加密貨幣,或者如何管理控制那些錢包的密鑰。這些信息只由一小群 FTX 精英------Bankman-Fried 及其核心圈子掌握。據在場的消息來源稱,Bankman-Fried 從未出現在會議中,但 FTX 聯合創始人和首席技術官 Gary Wang 加入了通話。
據消息人士稱,到這時,Wang 已經不再受到接近 Ray 的許多人的信任。在 FTX 崩潰的過程中,Wang 最初是站在 Bankman-Fried 這一邊的,只有在公司內部其他人幾天的勸說後,他才與前 CEO 保持了距離。
Wang 在緊急會議中最初提出,通過簡單地更改保護正在被清空的錢包的密鑰,即可阻止正在進行的盜竊,這一點並沒有贏得他的任何批評者的支持。前 FTX 員工記得自己當時覺得這樣做毫無意義,因為無論是誰獲得了網絡訪問權限,都可以簡單地抓取新的密鑰並繼續進行他們的盜竊。"狐狸已經進了雞舍,你還要去更換雞舍的鑰匙?"前員工記得自己當時是這麼想的。Wang 後來對 Bankman-Fried 現在面臨的相同的刑事指控認罪,對發送給他的律師的評論請求沒有回應。
然而,就在 Google Meet 通話開始的時候,LedgerX 的 Dexter 已經開始探索一種不同的方法來保護 FTX 的資金。在盜竊發生的前一周,數字資產信託公司 BitGo 一直在與負責監管 FTX 破產流程的律師事務所 Sullivan \& Cromwell 談判,以接管該公司剩餘的加密貨幣資產。因此,Dexter 現在打電話給 BitGo,試圖繞過 Sullivan \& Cromwell 與該公司開始的漫長的法律合同流程。相反,Dexter 要求 BitGo 立即創建"冷存儲"錢包------這些錢包將被安全地保管在離線環境中------FTX 可以將其所有剩餘的資金作為一個安全的避風港轉移到這些錢包中。Dexter 沒有回應評論請求。
BitGo 表示,大約半小時後,這些錢包就可以準備好。FTX 的員工擔心這還是太慢了。到那時,竊賊可能會從該公司的錢包中再拿走數億美元的加密貨幣。
Google Meet 通話中有人問,是否有人有自己的硬件錢包,可以在 BitGo 準備好之前將錢存放在那裡。從紐約郊區的家中參與通話的 Alvarez \& Marsall 的 FTX 顧問 Kumanan Ramanathan 自願提供幫助。他在自己家裡的辦公室有一個 Ledger Nano ------一個 USB 硬件錢包------他提議將其設置為易受攻擊的資金的臨時避風港。
11 月 11 日美東時間晚上大約 10:30,Ramanathan 在他的 Ledger Nano 上設置了一個新錢包。前 FTX 員工記得看到他檢查並再次檢查他為該錢包創建的密碼。Wang 開始將 FTX 的資金發送到這個錢包,很快,Ramanathan 在他位於威斯徹斯特縣家中的 USB 驅動器上持有了公司價值 4 億至 5 億美元的加密資產。
深夜 911 電話
幾分鐘後,BitGo 告訴 FTX 的員工其錢包已經準備好,他們開始將更多數億美元的加密貨幣轉移到 BitGo 的冷存儲,而不是 Ramanathan 的 Ledger 設備。在那個不眠之夜的其餘時間裡,員工們搜尋了 FTX 資金存儲的每一個錢包,並將他們能找到的每一枚硬幣都轉移到 BitGo。"他們在清理各種系統,試圖找到各種私鑰在哪裡,資產在哪裡存放,"參與應對工作的另一名未獲授權公開發言的人說。"一片混亂。"
當 FTX 的員工集中精力讓高管們批准這些潛在易受攻擊的資金轉帳時,Ramanathan 被留下來持有 Wang 最初轉移到他的 Ledger 錢包的加密貨幣。這造成了一種奇怪的局面,即一個個體實際上擁有 FTX 公司價值大約五億美元的資金,這本身帶來了其獨特的法律和安全風險。那個晚上,FTX 的總法律顧問 Ryne Miller 匆忙趕到 Ramanathan 的家中以幫助保管它。Ryne Miller 拒絕對這個故事發表評論,Ramanathan 也沒有回應評論請求。
美東時間晚上 10:59,Ramanathan 打電話給警察報告正在進行的盜竊,並解釋他正在持有受害者大量的資金,要求警察來到他的家中幫助保護它。畢竟,當時還沒有任何人知道(或現在知道)是誰竊取了其他資金,以及他們是否可能嘗試物理接觸 Ramanathan 持有的儲備。由 WIRED 獲得的來自 New Rochelle 警察局的警方報告顯示,Ramanathan 告訴 911 調度員,"當前正在發生一起巨大的加密貨幣襲擊,有大量的錢被發送到這個地址",他"擔心這個房子將成為一個目標"。
即使在警察到達後,FTX 的總法務顧問 Miller 仍然在 Ramanathan 家裡待了大部分的夜晚。Ramanathan 的計時費用記錄顯示,他和 Miller 從 11 月 12 日凌晨 2 點左右到凌晨 5 點,在他的家中待了近三個半小時。
Ramanathan 或他的家並沒有受到任何實質性的威脅。實際上,當資金被轉移到 Ramanathan 的 Ledger 錢包時,從 FTX 的資金盜取就已經停止了。"他用個人的 Ledger 冒了巨大的風險,"前 FTX 員工說,"他太牛了。我有很強烈的感覺,如果我們沒有做這個 Ledger 的噱頭,我們會損失更多的錢。"最終,在 11 月 12 日,週六凌晨 5 點左右,Ramanathan 家中辦公室的錢被轉移到了 BitGo。該公司最終會持有剩餘的 FTX 資金 11 億美元。
週六晚些時候,Bankman-Fried 和 Wang 又將超過 4 億美元的資金轉移到了巴哈馬政府控制下的帳戶以供保管,這一點被福布斯報導並在法庭文件中有記錄。有段時間,將資金轉移到巴哈馬的行為似乎被誤認為是盜竊行為本身。盜竊發生一周後,一些媒體錯誤地報導說,被盜的資金實際上已被巴哈馬政府沒收。作為相反證據,加密貨幣追蹤公司如 Elliptic 和 Chainalysis 觀察到實際被盜資金的部分被發送到常用於洗錢的"混幣"服務,如 Railgun 和跨鏈幣交換服務 THORChain,這是執行大規模加密貨幣盜竊的竊賊典型的行為。
沒有防護,無路線圖
自從 11 月 11 日那場令人絕望的救援行動以來,負責 FTX 破產程序的新團隊公開指控了導致盜竊成為可能的嚴重安全缺陷。
一份作為 FTX 破產程序一部分而發布的 4 月報告列舉了這種所謂的疏忽的例子:先前的 FTX 團隊沒有獨立的首席信息安全官或實際的專門安全團隊;儘管員工被指示公開聲稱只有最多 10% 的加密貨幣存放在熱錢包(連接到互聯網的電腦上的錢包)中,但它幾乎把所有的加密貨幣都存放在熱錢包中;它留下了未加密的錢包密鑰或未能正確設置多個密鑰解鎖資金所需的安全系統;並且缺乏甚至知道誰何時在轉移資金的日誌系統,等等其他問題。
該報告還描述了新的 FTX 團隊在 11 月 11 日面臨的複雜局面,當時,這個團隊第一天上任,就發現自己接手了一個已經嚴重崩潰的網絡。"由於 FTX 集團缺乏保護加密資產的有效控制,債務人面臨著隨時可能丟失數十億美元額外資產的威脅,"報告寫道,用"債務人"這個詞來描述由 Ray 領導的新 FTX 管理團隊。"由於債務人在沒有'路線圖'來引導他們的情況下努力識別和訪問加密資產,債務人不得不設計技術路徑來將他們識別到的許多類型的資產轉移到冷錢包中。"
鑑於這種明顯混亂的安全性和組織混亂,FTX 成為歷史上成本最高的加密貨幣盜竊事件的目標也許並不令人驚訝。但如果不是在那種混亂中做出了一些快速的決定,現在看來,情況可能會更糟。
"那是一個非常非常瘋狂的夜晚,"前 FTX 員工說,"我們努力解決了問題,完成了任務,並保存了大量客戶的錢。"