FTX全天不眠之战:阻止10亿美元加密货币盗窃
FTX全天不眠之战:阻止10亿美元加密货币盗窃' The condensed version is 'FTX全天不眠之战:阻止10亿美元加密货币盗窃
去年11月11日晚上,FTX的员工已经经历了该公司短暂历史上最糟糕的一天。这家曾经是全球顶级加密货币交易所之一,仅10个月前估值达到320亿美元,现在刚刚宣布破产。经过长时间的努力,高管们终于说服了该公司的CEO山姆·班克曼-弗里德将掌舵交给了新任首席执行官约翰·雷三世,他现在的任务是带领公司走出债务泥潭,其中许多债务似乎是无力偿还的。
FTX似乎已经跌到了谷底。直到有人-一个尚未被确认身份的窃贼-选择了那个特定的时刻,让情况变得更糟。那个星期五晚上,精疲力尽的FTX员工开始看到公司加密货币的神秘流出,这些流出在以太坊区块链上被公开记录,代表着价值数亿美元的加密货币正在实时被盗。
“天哪,”一位不愿透露姓名的前FTX员工回忆道,“经历了这一切,我们居然被黑客攻击了?”
根据其自身的账目,FTX最终会损失价值4.15亿美元至4.32亿美元的加密货币持有,这些数字已经在其破产过程中公开确认。FTX此前未透露的是,它可能已经丧失了更多的资产-在恶意网络攻击者窃取之前,其员工和外部顾问赶紧转移了超过10亿美元的加密货币到更安全的存储中,甚至有一次还匆忙将近五亿美元发送到一位顾问办公室里的一个物理USB驱动器中,以避免落入窃贼之手。
随着FTX失势创始人山姆·班克曼-弗里德的审判进入第二周,加密货币社区的许多人都在密切关注法庭事件,以寻找关于该交易所如何遭受如此灾难性的掠夺的任何线索,而这发生在他失去控制权的几小时后。由谁实施了那次盗窃-窃贼是FTX内部人士还是外部黑客-这是最重要的问题。这个谜团仍然没有解开,班克曼-弗里德和其他高级FTX高管也没有被指控参与那次盗窃。
但现在,ENBLE可以透露FTX在那次盗窃中的紧急工作细节,以限制损失并防止可能发生的数十亿美元的抢劫。FTX的新领导层,由其新任首席执行官雷领导,拒绝就此事接受采访。但ENBLE从负责FTX破产案工作的重组公司Alvarez & Marsall提交的详细发票、参与对盗窃事件的直接应对的人员的采访以及加密货币追踪公司Elliptic提供的区块链分析中了解到了危机响应的每小时细节。
这个应对措施始于11月11日晚上10点左右,当时FTX子公司LedgerX的首席执行官扎克·德克斯特向超过20名FTX剩余员工、破产律师、顾问和顾问提供了一个Google Meet邀请。邀请的主题只有一个词:“紧急”。
一些员工很快加入了这个Google Meet视频会议,随后的12个小时内参与者人数逐渐增加到几十人。他们都可以在Etherscan上实时看到FTX的钱包正在被抽空。但几乎没有人在会议上知道FTX确切地存储其加密货币的位置,以及如何管理控制这些钱包的秘密密钥。只有FTX的一小部分精英人士-班克曼-弗里德和他的核心团队-知道这些情况。据在场的消息人士透露,班克曼-弗里德从未出现在会议中,但FTX的联合创始人兼首席技术官Gary Wang参加了会议。
据说,此时,许多与雷有密切关系的人对王产生了不信任感。在FTX崩溃的过程中,王一开始支持班克曼-弗里德,直到在公司内部其他人的劝说下才与前任CEO保持距离。
在紧急会议上,王最初提出的建议并没有赢得任何批评者的支持,他认为可以通过更改保护正在被清空的钱包的秘密密钥来阻止持续的盗窃。一位前FTX员工回忆道,这似乎是毫无意义的,因为无论谁获得了对网络的访问权,都可以轻易地获取新的密钥并继续进行抢劫。“狐狸已经进入了鸡舍,你要改变鸡舍的钥匙?”这位前员工回忆道。王现在已经承认了与班克曼-弗里德面临的同样刑事指控,但并未回应通过他的律师发送的置评请求。
就在Google Meet电话开始的时候,LedgerX的Dexter开始探索一种不同的保护FTX资金的方法。在盗窃发生的前一周,数字资产信托公司BitGo正在与负责监督FTX破产程序的律师事务所Sullivan&Cromwell进行谈判,以托管该公司剩余的加密货币。因此,Dexter现在致电BitGo,试图绕过Sullivan&Cromwell与公司开始的冗长法律合同流程。相反,Dexter要求BitGo立即创建“冷存储”钱包——即将安全离线保存的钱包——以便FTX将其剩余的资金转移到其中作为安全避难所。Dexter没有回应置评请求。
BitGo表示,他们可以在大约半小时内准备好这些钱包。FTX的员工担心这仍然太慢了。盗贼可能在此期间从公司的钱包中窃取价值数亿美元的加密货币。
Google Meet电话中的某人询问是否有人有自己的硬件钱包,可以在BitGo准备好之前将资金存放其中。来自Alvarez&Marsall的FTX顾问Kumanan Ramanathan自愿提供。他在办公室里有一个Ledger Nano—一个USB驱动型硬件钱包,他提议将其设置为暂时的资金避难所。
Ramanathan在东部时间11月11日晚上10:30左右在他的Ledger Nano上设置了一个新钱包。那位前FTX员工记得看着他检查和反复检查为该钱包创建的密码。王开始将FTX的资金发送到该钱包,并且不久后,Ramanathan手持着公司加密资产中价值约4亿到5亿美元的USB驱动器。
几分钟后,BitGo告诉FTX的员工他们的钱包已经准备好了,他们开始将数亿美元的加密货币转移到BitGo的冷存储中,而不是Ramanathan的Ledger设备。在那个不眠之夜的余下时间里,员工们在寻找存放FTX资金的每个钱包,并转移他们能找到的每一枚币到BitGo。参与应对的另一位匿名人士说:“他们在清理各种系统,试图找到各个私钥的所在地、资产所在地。”因为他们没有获得公开发言权,所以匿名人士要求保密。
当FTX的员工专注于让高管批准这些可能易受攻击的资金转移时,Ramanathan被留在手持Wang最初转入他的Ledger钱包的加密货币中。这就产生了一个奇怪的情况,即一个人实际上持有价值约数十亿美元的FTX资金,这本身带来了独特的法律和安全风险。那天晚上,FTX的总法律顾问Ryne Miller匆忙赶到Ramanathan的办公室帮助保护资金。Ryne Miller拒绝就本故事置评,而Ramanathan没有回应置评请求。
Ramanathan的计费小时记录显示,他和Miller在11月12日凌晨2点左右到5点左右在他的办公室里待了将近三个半小时。事实上,Ramanathan曾经打电话报警,报告正在发生的盗窃,并解释他正在持有受害者的大量资金,请求警察前往他的办公室帮助保护。毕竟,当时没人知道——现在也不知道——谁盗取了其他资金,以及他们是否会试图亲自拿走Ramanathan所持有的资金。
事实上并未出现任何实际的威胁。实际上,从FTX向Ramanathan的Ledger钱包转移资金时,从FTX中盗取资金的行为就停止了。“他使用了他个人的Ledger冒了很大的风险,”前FTX员工说。“他是一个真正的老板。我非常强烈地感觉到,如果我们没有进行这次Ledger的把戏,我们将会损失更多的资金。” Ramanathan的办公室里的资金最终在11月12日上午5点左右转移到了BitGo。公司最终持有了剩余的FTX资金11.1亿美元。
在那天晚些时候,根据《福布斯》的报道和法庭文件的记录,Bankman-Fried和Wang将另外4亿多美元转移到了巴哈马政府控制的账户中进行保护。有时,资金转移到巴哈马似乎与盗窃本身混淆了。盗窃发生一周后,一些媒体错误地报道称被盗资金实际上被巴哈马政府扣押了。作为相反的证据,加密货币追踪公司Elliptic和Chainalysis观察到部分实际被盗资金被发送到经常用于洗钱被盗加密货币资金的“混合”服务,如THORchain和Railgun,这是大规模加密货币盗窃的典型行为。
自11月11日绝望的救援行动以来的几个月里,负责处理FTX破产程序的新管理层公开指责存在严重的安全漏洞,使得盗窃成为可能。
作为FTX破产程序的一部分发布的4月份的一份报告列举了这种被指控的忽视的例子:之前的FTX管理层没有独立的首席信息安全官或实际的专门安全团队;尽管员工被要求公开声称其热钱包内仅存有10%的加密货币,但它几乎将所有加密货币保存在与互联网连接的计算机上的热钱包中;它将这些钱包的密钥未加密或未正确设置需要多个密钥才能解锁资金的安全系统;并且缺乏记录系统,无法知道是谁何时移动了资金,以及许多其他问题。
同一份报告描述了新FTX管理层在11月11日面临的不可能情况,当时在接管的第一天,他们发现自己继承了一个深受损害的网络。“由于FTX集团在保护加密资产方面的不足,债务人面临着数十亿美元的额外资产随时可能丢失的威胁,”报告中使用“债务人”一词来描述由雷领导的新FTX管理层。“由于债务人在没有‘地图’指导的情况下努力识别和访问加密资产,债务人不得不设计技术路径将他们识别出的许多类型的资产转移到冷存储。”
考虑到显然混乱的安全和组织状况,或许不足为奇的是,FTX成为历史上最昂贵的加密货币盗窃事件之一的目标。但是,如果不是在那种混乱中做出一些迅速的决策,现在看来情况可能会更糟。
“那是一个非常非常疯狂的夜晚,”前FTX员工说。“我们努力工作,完成了任务,并挽救了大量客户的资金。”