L’11 novembre dello scorso anno, il personale di FTX ha vissuto una notte da tregenda. Quello che solo dieci mesi prima era stato uno dei principali exchange di criptovalute al mondo, valutato 32 miliardi di dollari solo 10 mesi prima, aveva appena dichiarato bancarotta. Dopo una lunga lotta, i dirigenti avevano convinto l’amministratore delegato della società, Sam Bankman-Fried, a cedere le redini a John Ray III, incaricato di guidare la società attraverso una selva di debiti da incubo senza i mezzi per farvi fronte completamente.
L’hackeraggio
Quel venerdì sera, i dipendenti di FTX hanno iniziato a vedere misteriosi deflussi di criptovaluta della società, pubblicamente ripresi dal sito web Etherscan che tiene traccia della blockchain di Ethereum, che rappresentavano centinaia di milioni di dollari di criptovaluta rubati in tempo reale. “Porca puttana”- ricorda un ex dipendente di FTX, che ha chiesto di non essere nominato perché non autorizzato a parlare di questioni interne all’azienda –“Dopo tutto questo, ci stanno hackerando?”. Secondo la sua stessa contabilità, FTX avrebbe perso tra i 415 e i 432 milioni di dollari di criptovalute a causa di ladri non identificati, cifre che ha confermato pubblicamente nell’ambito del processo di bancarotta a SBF. Ciò che FTX non ha rivelato in precedenza è quanto sia stata vicina a perdere molto di più: il suo personale e i suoi consulenti esterni si sono affrettati a spostare più di un miliardo di dollari di criptovalute in depositi più sicuri prima che potessero essere rubati dalla presenza malevola nella sua rete, addirittura, a un certo punto, si sono affannati a inviare quasi mezzo miliardo di dollari a una chiavetta USB fisica nell’ufficio di un consulente nel tentativo di tenerli fuori dalle mani dei ladri.
Mentre il processo a Sam Bankman-Fried, fondatore di FTX caduto in disgrazia, entra nella sua seconda settimana, molti esponenti della community delle criptovalute studiano attentamente gli eventi in aula alla ricerca di qualsiasi indizio, che possa aiutare a identificare chi abbia compiuto il furto e capire se i ladri fossero interni all’exchange fallito, o hacker esterni. Questo mistero rimane irrisolto e né Bankman-Fried né altri alti dirigenti di FTX sono stati accusati di quel furto. Ma ora Wired ha ricostruito gli eventi della notte di panico in cui FTX ha lavorato per limitare i danni di quel furto e per prevenire quello che altrimenti avrebbe potuto essere un colpo a 10 zeri. I dettagli della risposta alla crisi, ora per ora, sono stati desunti da una fattura dettagliata presentata dalla società di ristrutturazione Alvarez & Marsall per il suo lavoro sul caso di bancarotta di FTX, da interviste con persone che hanno partecipato alla risposta immediata al furto e dall’analisi della blockchain fornita dalla società di tracciamento delle criptovalute Elliptic.
“Invito: Urgente”
La reazione all’hackeraggio è iniziata intorno alle 22:00 dell’11 novembre, quando Zach Dexter, l’amministratore delegato della controllata di FTX, LedgerX, ha inviato un invito a Google Meet a un gruppo di oltre 20 membri del personale rimanente di FTX, avvocati, consulenti e consulenti in materia fallimentare. L’oggetto dell’invito era composto da una sola parola: “urgente”. Una manciata di dipendenti si è subito unita alla videochiamata di Google Meet, che nelle 12 ore successive avrebbe visto decine di partecipanti. Tutti potevano vedere i portafogli FTX svuotati in tempo reale su Etherscan. Ma quasi nessuno dei partecipanti aveva idea di dove FTX conservasse esattamente le sue criptovalute o di come gestisse le chiavi segrete che controllavano quei portafogli. Solo Bankman-Fried e la sua cerchia ristretta erano a conoscenza di questi particolari. Secondo le fonti presenti, Bankman-Fried non ha mai partecipato alla riunione, ma Gary Wang, cofondatore e CTO di FTX, ha partecipato alla riunione. Egli ha suggerito che il deflusso di denaro sarebbe potuto essere fermato semplicemente cambiando le chiavi segrete che proteggevano i portafogli che venivano svuotati. Una misura inutile, ricorda l’ex collaboratore di FTX, visto che chiunque avesse avuto accesso alla rete avrebbe potuto semplicemente prendere le nuove chiavi e continuare il furto..
Proprio mentre iniziava la chiamata a Google Meet, tuttavia, Dexter di LedgerX aveva iniziato a esplorare un approccio diverso per proteggere i fondi di FTX. La settimana precedente al furto, la società fiduciaria di asset digitali BitGo stava negoziando con Sullivan & Cromwell, lo studio legale che supervisiona il processo di bancarotta di FTX, per prendere in custodia le rimanenti criptovalute dell’azienda. Dexter ha quindi chiamato BitGo chiedendo di creare immediatamente dei portafogli “cold storage”, portafogli che sarebbero stati tenuti offline in modo sicuro, in cui FTX avrebbe potuto spostare tutti i suoi fondi rimanenti come rifugio sicuro. BitGo rispose che avrebbe potuto preparare i portafogli in circa mezz’ora. I dipendenti di FTX temevano che sarebbe stato comunque troppo tardi, poiché i ladri avrebbero potuto sottrarre altre centinaia di milioni di dollari di criptovalute in quel lasso di tempo.
A questo punto fu chiesto se qualcuno avesse un proprio portafoglio hardware, dove conservare il denaro fino a quando BitGo non fosse stata pronto e Kumanan Ramanathan (nella foto sopra) , un consulente di FTX di Alvarez & Marsall, si è offerto volontario. Aveva un Ledger Nano, un portafoglio hardware con unità USB, nel suo ufficio e si è offerto di installarlo come rifugio temporaneo per il denaro vulnerabile. Ramanathan ha fatto questa operazione intorno alle 22:30 dell’11 novembre. L’ex collaboratore di FTX ricorda di averlo visto controllare e ricontrollare la password che aveva creato per quel portafoglio. Wang iniziò a inviarvi i fondi di FTX e ben presto Ramanathan si trovò a detenere tra i 400 e i 500 milioni di dollari di criptovalute della società su una chiavetta USB.
Una chiamata al 911 a tarda notte
Pochi minuti dopo, BitGo ha comunicato ai dipendenti di FTX che i suoi portafogli erano pronti e hanno iniziato a trasferire altre centinaia di milioni di criptovalute al cold storage di BitGo invece che al dispositivo Ledger di Ramanathan. Per il resto di quella notte insonne, i dipendenti sono andati a caccia di tutti i portafogli in cui era conservato il denaro di FTX e hanno trasferito tutte le monete che sono riusciti a trovare a BitGo. “Stavano analizzando vari sistemi cercando di trovare dove fossero le varie chiavi private, dove fossero custodite le attività”, dice un’altra persona coinvolta nella risposta, a cui è stato concesso l’anonimato perché non era autorizzata a parlarne pubblicamente. “È stato un vero e proprio caos”. Mentre il personale di FTX si concentrava per far firmare ai dirigenti i trasferimenti di fondi potenzialmente vulnerabili, Ramanathan è rimasto in possesso delle criptovalute che Wang aveva inizialmente trasferito nel suo portafoglio Ledger. Ciò ha creato la bizzarra situazione di un individuo in possesso fisicamente di circa mezzo miliardo di dollari di denaro di FTX, che presenta rischi legali e di sicurezza unici.
Quella sera, Ryne Miller, il consulente legale di FTX, si è precipitato nell’ufficio di Ramanathan per aiutarlo e proteggerlo. Il registro delle ore fatturabili di Ramanathan mostra che lui e Miller hanno trascorso quasi tre ore e mezza nel suo ufficio, dalle 2 alle 5 del mattino circa, il 12 novembre. A un certo punto, infatti, Ramanathan ha chiamato la polizia per denunciare un furto in corso e spiegare che aveva in mano una grossa somma di denaro della vittima, chiedendo che gli agenti venissero nel suo ufficio per aiutarlo a proteggerlo. Dopotutto, nessuno sapeva chi stesse rubando gli altri fondi e c’era il fondato motivo di temere che potesse intervenire con la forza per appropriarsi della scorta che Ramanathan custodiva. Nessuna minaccia fisica si materializzò. Anzi, il trafugamento di fondi da FTX era cessato quando il denaro era stato spostato nel portafoglio Ledger di Ramanathan. “Ha corso un rischio enorme usando il suo Ledger personale”, dice l’ex collaboratore di FTX. “Ho la netta sensazione che se non avessimo fatto questa trovata del Ledger, avremmo perso molti più soldi”. Il denaro nell’ufficio di Ramanathan è stato finalmente trasferito a BitGo intorno alle 5 del mattino di sabato 12 novembre. La società avrebbe infine detenuto 1,1 miliardi di dollari dei fondi FTX rimanenti.
Più tardi, sabato, Bankman-Fried e Wang hanno trasferito altri 400 milioni di dollari in conti sotto il controllo del governo delle Bahamas, come riportato da Forbes e registrato in un documento del tribunale. In alcuni momenti, il movimento di fondi verso le Bahamas sembra essere stato confuso con il furto stesso. Una settimana dopo il furto, alcuni media hanno riportato erroneamente che i fondi rubati erano stati effettivamente sequestrati dal governo delle Bahamas. A riprova del contrario, società di tracciamento delle criptovalute come Elliptic e Chainalysis hanno osservato che porzioni dei fondi effettivamente rubati sono state inviate a servizi di “miscelazione” spesso utilizzati per riciclare i fondi crittografici rubati, come THORchain e Railgun, un comportamento tipico dei ladri che mettono a segno rapine di criptovalute su larga scala.
Poche tutele, nessuna mappa
Nei mesi successivi al disperato tentativo di salvataggio dell’11 novembre, la nuova governance di FTX ha pubblicamente denunciato le evidenti carenze di sicurezza che hanno reso possibile il furto. Un rapporto pubblicato ad aprile nell’ambito della procedura fallimentare di FTX elencava esempi di questa presunta negligenza: quando SBF era il CEO della società essa non aveva un responsabile indipendente della sicurezza informatica o un vero e proprio team di sicurezza dedicato; conservava praticamente tutte le sue criptovalute in hot wallet (portafogli su computer connessi a Internet), nonostante i dipendenti avessero ricevuto istruzioni di dichiarare pubblicamente che ne conservava solo il 10%; lasciava le chiavi di tali portafogli non criptate o non riusciva a configurare correttamente i sistemi di sicurezza in cui sono necessarie più chiavi per sbloccare i fondi; e non disponeva di sistemi di registrazione per sapere chi muoveva i fondi e quando, oltre a molti altri problemi.
Lo stesso rapporto descrive la situazione impossibile che i nuovi amministratori di FTX hanno affrontato l’11 novembre, quando, nel loro primo giorno di incarico, hanno scoperto di aver ereditato una rete profondamente compromessa. “A causa dei controlli carenti del Gruppo FTX per proteggere le attività di criptovaluta, i Debitori si sono trovati di fronte alla minaccia che miliardi di dollari di attività aggiuntive potessero andare perse in qualsiasi momento”, si legge nel rapporto, che utilizza il termine “debitori” per descrivere la nuova amministrazione FTX guidata da Ray. “Poiché i debitori hanno lavorato per identificare e accedere ai beni crittografici senza una ‘mappa’ che li guidasse, hanno dovuto progettare percorsi tecnologici per trasferire molti tipi di beni che hanno identificato in un deposito a freddo”.
Conclusioni
Considerando la sicurezza e la disorganizzazione apparentemente precarie, forse non è una sorpresa che FTX sia diventata l’obiettivo di una delle rapine di criptovalute più costose della storia. Ma se non fosse stato per alcune decisioni rapide nel bel mezzo del caos, ora sembra che sarebbe potuta andare molto peggio.
“È stata una notte molto, molto folle”, racconta l’ex collaboratore di FTX. “Ci abbiamo lavorato, l’abbiamo fatto e abbiamo salvato un’enorme quantità di denaro dei clienti”.
