調查FTX破產當天的“離奇黑客事件”

2023-10-16 16:10:07

去年 11 月 11 日的傍晚，FTX交易所的員工經歷了該公司歷史上最黑暗的一天。僅僅 10 個月前，FTX還是一家嶄露頭角、被譽為全球頂尖加密貨幣交易所之一的公司。然而，此時卻陷入了破產的境地。經過漫長的努力，高管們成功說服了首席執行官Sam Bankman-Fried將掌權權交接給John Ray III，這位新首席執行官的任務是引導公司走出債務困境的泥淖，而公司似乎沒有足夠的手段來償還這些債務。

FTX似乎已經觸底反彈。然而，直到那一刻，一個或多個身份未明的竊賊選擇了在此時，讓事情變得更加糟糕。那個星期五傍晚，疲憊不堪的FTX員工开始在Etherscan上看到公司的加密貨幣資產突然被神祕地大規模轉移，數以億計美元的加密貨幣正在實時被盜。

一位前FTX員工回憶說：“經歷了這一切，我們居然還被黑了？”這位員工要求匿名，因為他未被授權討論公司內部事務。

根據FTX的账目，該公司最終將因這些未知竊賊而損失 4.15 億至 4.32 億美元的加密貨幣資產，這一數字已作為其破產程序的一部分被公开確認。然而，FTX以前沒有透露的是，它有可能失去更多，因此公司員工和外部顧問急忙將超過 10 億美元的加密貨幣資產遷移到更加安全的存儲設施，以防止它們被不法分子竊取。甚至有員工爭分奪秒地將近 5 億美元的加密貨幣發送到一名顧問辦公室的物理USB驅動器上，以確保其不會落入竊賊之手。

“邀請：緊急”

隨着FTX交易所的創始人Sam Bankman-Fried的審判進入第二周，加密貨幣社區密切關注着法庭事件，希望能夠找出關於交易所是如何在他離开掌權幾小時後遭到如此災難性搶劫的线索。關鍵問題是，由誰實施了這次盜竊，以及竊賊是FTX內部人員還是外部黑客。這個謎團目前尚未揭曉，Bankman-Fried及其他FTX高級管理層並未因此次盜竊事件而被起訴。

然而，現在WIRED可以披露FTX如何努力減小那次危機造成的損害，以及如何阻止了一起可能價值數十億美元的盜竊。FTX的新領導團隊在新CEO Ray的領導下，拒絕對這一事件置評。然而，WIRED通過FTX破產案的詳細账目，參與應對盜竊的個人採訪以及加密貨幣追蹤公司Elliptic提供的區塊鏈分析，了解了應對危機的逐時細節。

這次應對行動始於大約11月11日晚上10點左右，當時FTX子公司LedgerX的首席執行官Zach Dexter邀請FTX的20多名員工、破產律師、顧問和咨詢師加入了一次Google Meet視頻通話。邀請的標題是"緊急"。

一些員工很快參加了這個Google Meet的視頻通話，最終在接下來的12小時內有數十名參與者。他們在Etherscan上實時看到FTX的錢包資金被清空，但幾乎沒有人知道FTX將其加密資金存放在何處，以及如何管理和控制那些錢包的密鑰。這些信息只有FTX的一小部分高層人員，包括Bankman-Fried和他的核心團隊知道。消息人士表示，Bankman-Fried從未出現在會議中，但FTX的聯合創始人和首席技術官Gary Wang參加了通話。

消息人士表示，此時，Wang已經失去了接近Ray的許多人的信任。在FTX崩潰的過程中，Wang最初站在Bankman-Fried這一邊，只有在公司內部其他人多日的勸說後，他才與前CEO保持了距離。

在緊急會議开始時，Wang最初提出通過更改正在被清空的錢包的密鑰來阻止盜竊，但這一提議沒有贏得任何人的支持。前FTX員工記得他們當時認為這個提議毫無意義，因為無論誰獲得了網絡訪問權限，都可以輕松獲取新的密鑰並繼續盜取資金。前員工回憶說他們認為這就好像"狐狸已經闖入了雞舍，你還要去更換雞舍的鎖一樣"。隨後，Wang對與Bankman-Fried面臨的相同刑事指控認罪，但對於發送給他的律師的評論請求沒有回應。

然而，在Google Meet通話开始後不久，LedgerX的Dexter已經开始探索一種不同的方法來保護FTX的資金。在盜竊發生的前一周，數字資產信托公司BitGo一直在與負責監管FTX破產流程的律師事務所Sullivan & Cromwell進行談判，以接管該公司剩余的加密貨幣資產。因此，Dexter現在聯系了BitGo，試圖繞過Sullivan & Cromwell與公司之間开始的漫長法律合同流程。相反，Dexter要求BitGo立即創建"冷存儲"錢包，這些錢包將被安全地存放在離线環境中，以便FTX將其所有剩余的資金作為安全避風港轉移到這些錢包中。Dexter沒有回應評論請求。

BitGo表示，大約半小時後，這些錢包已准備好。然而，FTX的員工擔心這仍然太慢。到那時，竊賊可能會再次從公司的錢包中取走數億美元的加密貨幣。

在Google Meet通話中，有人提出是否有人有自己的硬件錢包，可以在BitGo准備好之前將資金存放在那裏。FTX的顧問Kumanan Ramanathan自愿提供幫助，他參與通話，他家中有一個Ledger Nano，一個USB硬件錢包。他提議將其設置為暴露在攻擊中的資金的臨時避風港。

約在美國東部時間晚上10:30左右，Ramanathan在他的Ledger Nano上設置了一個新的錢包。前FTX員工記得看到他檢查並再次檢查他為該錢包創建的密碼。Wang开始將FTX的資金發送到這個錢包，很快，Ramanathan在他位於威斯特徹斯特縣家中的USB驅動器上持有了價值40億至50億美元的公司加密資產。

深夜 911 電話

幾分鐘後，BitGo告訴FTX的員工其錢包已准備好，他們开始將更多數億美元的加密貨幣轉移到BitGo的冷存儲，而不是Ramanathan的Ledger設備。在那個不眠之夜的其余時間裏，員工們搜索了FTX資金存儲的每一個錢包，並將他們能找到的每一枚硬幣都轉移到BitGo。“他們在清理各種系統，試圖找到各種私鑰在哪裏，資產在哪裏存放，”參與應對工作的另一名未獲授權公开發言的人說。“一片混亂。”

當FTX的員工集中精力讓高管們批准這些潛在易受攻擊的資金轉账時，Ramanathan被留下來持有Wang最初轉移到他的Ledger錢包的加密貨幣。這造成了一種奇怪的局面，即一個個體實際上擁有FTX公司價值大約五億美元的資金，這本身帶來了其獨特的法律和安全風險。那個晚上，FTX的總法律顧問Ryne Miller匆忙趕到Ramanathan的家中以幫助保管它。Ryne Miller拒絕對這個故事發表評論，Ramanathan也沒有回應評論請求。

美東時間晚上10:59，Ramanathan打電話給警察報告正在進行的盜竊，並解釋他正在持有受害者大量的資金，要求警察來到他的家中幫助保護它。畢竟，當時還沒有人知道（或現在知道）是誰竊取了其他資金，以及他們是否可能嘗試物理接觸Ramanathan持有的儲備。由WIRED獲得的來自New Rochelle警察局的警方報告顯示，Ramanathan告訴911調度員，“當前正在發生一起巨大的加密貨幣襲擊，有大量的錢被發送到這個地址”，他“擔心這個房子將成為一個目標”。

即使在警察到達後，FTX的總法務顧問Miller仍然在Ramanathan家裏待了大部分的夜晚。Ramanathan的計時費用記錄顯示，他和Miller從11月12日凌晨2點左右到凌晨5點，在他的家中待了近三個半小時。

Ramanathan或他的家並沒有受到任何實質性的威脅。實際上，當資金被轉移到Ramanathan的Ledger錢包時，從FTX的資金盜取就已經停止了。“他用個人的Ledger冒了巨大的風險，”前FTX員工說，“他太牛了。我有很強烈的感覺，如果我們沒有做這個Ledger的噱頭，我們會損失更多的錢。”最終，在11月12日，周六凌晨5點左右，Ramanathan家中辦公室的錢被轉移到了BitGo。該公司最終會持有剩余的FTX資金11億美元。

周六晚些時候，Bankman-Fried和Wang又將超過4億美元的資金轉移到了巴哈馬政府控制下的账戶以供保管，這一點被福布斯報道並在法庭文件中有記錄。有段時間，將資金轉移到巴哈馬的行為似乎被誤認為是盜竊行為本身。盜竊發生一周後，一些媒體錯誤地報道說，被盜的資金實際上已被巴哈馬政府沒收。作為相反證據，加密貨幣追蹤公司如Elliptic和Chainalysis觀察到實際被盜資金的部分被發送到常用於洗錢的“混幣”服務，如Railgun和跨鏈幣交換服務THORChain，這是執行大規模加密貨幣盜竊的竊賊典型的行為

沒有防護，無路线圖

自從11月11日那場令人絕望的救援行動以來，負責FTX破產程序的新團隊公开指控了導致盜竊成為可能的嚴重安全缺陷。

一份作為FTX破產程序一部分而發布的4月報告列舉了這種所謂的疏忽的例子：先前的FTX團隊沒有獨立的首席信息安全官或實際的專門安全團隊；盡管員工被指示公开聲稱只有最多10%的加密貨幣存放在熱錢包（連接到互聯網的電腦上的錢包）中，但它幾乎把所有的加密貨幣都存放在熱錢包中；它留下了未加密的錢包密鑰或未能正確設置多個密鑰解鎖資金所需的安全系統；並且缺乏甚至知道誰何時在轉移資金的日志系統，等等其他問題。

該報告還描述了新的FTX團隊在11月11日面臨的復雜局面，當時，這個團隊第一天上任，就發現自己接手了一個已經嚴重崩潰的網絡。“由於FTX集團缺乏保護加密資產的有效控制，債務人面臨着隨時可能丟失數十億美元額外資產的威脅，”報告寫道，用“債務人”這個詞來描述由Ray領導的新FTX管理團隊。“由於債務人在沒有‘路线圖’來引導他們的情況下努力識別和訪問加密資產，債務人不得不設計技術路徑來將他們識別到的許多類型的資產轉移到冷錢包中。”

鑑於這種明顯混亂的安全性和組織混亂，FTX成為歷史上成本最高的加密貨幣盜竊事件的目標也許並不令人驚訝。但如果不是在那種混亂中做出了一些快速的決定，現在看來，情況可能會更糟。

“那是一個非常非常瘋狂的夜晚，”前FTX員工說，“我們努力解決了問題，完成了任務，並保存了大量客戶的錢。”