L’hacker anonimo di FTX ha spostato grandi quantità dei soldi rubati all’inizio del processo a carico di Sam Bankman-Fried, fondatore dell’exchange ormai defunto, il quale ha presentato istanza di fallimento l’11 novembre 2022
La vicenda
Lo stesso giorno, nel caos del crollo dell’azienda, sono stati rubati criptoasset controllati dall’exchange, per un valore di centinaia di milioni di dollari. L’identità del ladro rimane, al momento, un mistero, anche se i beni rubati continuano a essere spostati e riciclati sulla blockchain. Il ladro ha colpito per la prima volta alle 21:22 della sera dell’11 novembre, spostando 9.500 ETH (che all’epoca valevano 15,5 milioni di dollari) da un portafoglio appartenente a FTX a un nuovo portafoglio. Nelle ore successive, centinaia di altre criptovalute sono state prelevate dai suoi portafogli, con transazioni per un totale di 477 milioni di dollari.
Il ladro avrebbe potuto rubare ancora di più, se non fosse stato per la rapida risposta del personale di FTX e dei consulenti fallimentari, che sono riusciti a mettere al sicuro oltre 300 milioni di dollari di asset prima che il ladro potesse accedervi.
Seguire la traccia del denaro della blockchain
Il ladro si è messo subito al lavoro per riciclare i fondi e assicurarsi che non potessero essere sequestrati dalle autorità. Dei cryptoasset rubati, 434 milioni di dollari erano stablecoin e altri token, molti dei quali possono essere congelati dai loro emittenti quando si ritiene che siano stati rubati. In effetti, è successo proprio questo; ad esempio, l’emittente di stablecoin Tether è stato in grado di congelare 31,5 milioni di dollari di USDT rubati nelle ore successive all’hack. Per evitare ulteriori sequestri, il ladro ha iniziato a scambiare i token rubati con “asset nativi” come la criptovaluta Ether. Ogni blockchain ha un asset nativo che non viene emesso da nessuna parte centrale e che quindi non può essere congelato da un emittente. Se un ladro tenta di scambiare i criptoasset rubati presso una borsa centralizzata come Coinbase, è probabile che i suoi fondi vengano sequestrati, per cui di solito si rivolge alle borse decentralizzate (DEX). Un ladro è libero di scambiare i token rubati con asset nativi sui DEX, senza che i suoi fondi vengano segnalati e congelati da un dipartimento di conformità. Nel caso del furto di FTX, l’hacker ha utilizzato DEX come Uniswap e PancakeSwap per scambiare centinaia di milioni di dollari di token subito dopo il furto.
Riciclaggio trasversale on chain
Nel momento in cui i beni rubati erano al sicuro da ogni tentativo di sequestro, il ladro ha proceduto a spostarli su diverse blockchain allo scopo di rendere più difficile rintracciare i fondi e avere l’accesso a servizi, che facilitano un ulteriore riciclaggio. Anche in questo caso, ricorrendo ad un exchange il ladro rischierebbe di vedersi sequestrare i beni. Per spostare i fondi da una blockchain all’altra, invece, si ricorre a servizi decentralizzati, noti come cross-chain bridge, ed è proprio questo che il ladro ha fatto. In primo luogo, i beni rubati sulle blockchain Smart Chain e Solana di Binance sono stati trasferiti sul conto Ethereum del ladro e combinati con gli altri beni rubati, utilizzando i ponti cross-chain Multichain e Wormhole. Ormai erano passati tre giorni dall’inizio dell’hacking e il ladro aveva accumulato 245.000 ETH in un unico conto Ethereum, che ora valeva circa 306 milioni di dollari. A questo punto il bottino del ladro si è ridotto notevolmente, a causa dei costi di scambio degli asset e del sequestro di alcuni dei token rubati da parte degli emittenti. Dopo cinque giorni di inattività, il 20 novembre 2022 65.000 ETH sono stati trasferiti alla blockchain di Bitcoin utilizzando il ponte cross-chain RenBridge. La ricerca di Elliptic ha già rivelato che RenBridge è stato utilizzato per riciclare oltre mezzo miliardo di dollari in attività illecite. Incredibilmente, la società dietro RenBridge era di proprietà di Alameda Research, per cui i fondi rubati a FTX venivano riciclati attraverso un servizio di fatto di proprietà della società sorella.
Miscelazione
Perché affrontare i problemi e le spese per convertire l’Ether in Bitcoin? I proventi degli hack vengono spesso trasferiti in Bitcoin grazie alla disponibilità di mixer, servizi che aiutano a mascherare la traccia della blockchain mescolando la propria criptovaluta con quella di altre persone. Questo è esattamente ciò che il ladro ha fatto: dei 4.536 Bitcoin convertiti da ether a RenBridge, 2.849 BTC sono stati inviati tramite mixer, principalmente un servizio chiamato ChipMixer. Rintracciare questi beni diventa più difficile, tuttavia almeno 4 milioni di dollari sono stati trasferiti agli exchange, dove potrebbero essere stati incassati. Era il 12 dicembre 2022, un mese dopo l’inizio del furto.
Nella foto sotto, una schermata di Elliptic Investigator, che mostra come i beni rubati siano stati convertiti in ETH attraverso gli exchange decentralizzati, per poi essere trasferiti in Bitcoin e inviati attraverso ChipMixer.
Una pausa di nove mesi
I 180.000 ETH che non sono stati convertiti in Bitcoin attraverso RenBridge sono rimasti inattivi fino alle prime ore del 30 settembre 2023, quando valevano 300 milioni di dollari. La stessa tecnica di riciclaggio, convertire l’Ether in Bitcoin e poi passarlo attraverso un mixer, continuava a essere utilizzata, ma nei nove mesi successivi erano cambiate molte cose nell’ecosistema delle criptovalute. RenBridge aveva chiuso i battenti in seguito al crollo di FTX e il ladro si era quindi rivolto a un altro cross-chain bridge: THORSwap. Circa 72.500 ETH (che ora valgono 120 milioni di dollari) di beni rubati sono stati convertiti in Bitcoin in questo modo. THORSwap ha sospeso la sua interfaccia il 6 ottobre, citando “il potenziale movimento di fondi illeciti attraverso THORChain e, nello specifico, THORSwap”. Tuttavia, il ladro ha continuato a utilizzare il ponte THORChain sottostante attraverso altri mezzi.
Gran parte di questi Bitcoin è stato poi inviato attraverso un mixer. Nell’aprile del 2023, ChipMixer, il precedente mixer scelto dal ladro, è stato sequestrato in un’operazione di polizia internazionale, con la piattaforma accusata di aver riciclato 3 miliardi di dollari provenienti da ransomware e altre fonti illecite. Il ladro ha invece iniziato a utilizzare Sinbad, un altro mixer lanciato alla fine del 2022. La ricerca di Elliptic suggerisce che Sinbad sia un rebrand di Blender, un mixer che è stato sanzionato dal Dipartimento del Tesoro degli Stati Uniti a causa del suo utilizzo da parte del Lazarus Group della Corea del Nord. Sinbad è stato anche pesantemente utilizzato per riciclare i proventi degli hacking che ha perpetrato, ma nonostante ciò non sono state applicate sanzioni a Sinbad.
Chi c’è dietro il furto di FTX?
A quasi un anno dal furto di 477 milioni di dollari di criptoasset da FTX, l’identità del ladro rimane sconosciuta. Una possibilità è che si tratti di un lavoro fatto dall’interno. Alcuni dipendenti di FTX avrebbero avuto accesso ai criptovalori dell’azienda per spostarli per motivi operativi. Nel caos che ha circondato il fallimento e il collasso della società, potrebbe essere stato possibile per un attore interno appropriarsi di questi beni. Un sospetto potrebbe essere lo stesso Sam Bankman-Fried, anche se il suo accesso limitato a Internet ostacolerebbe qualsiasi tentativo di riciclaggio. Alle 15:41 EST del 4 ottobre 2023, 15 milioni di dollari della criptovaluta rubata sono stati spostati, in quel momento Bankman-Fried si trovava in tribunale, senza accesso a Internet. Le misure di sicurezza poco rigorose adottate da FTX potrebbero aver reso relativamente semplice il furto dei beni da parte di un soggetto esterno. Il nuovo CEO di FTX ha rivelato che le chiavi private, che consentivano l’accesso ai cryptoasset dell’azienda erano conservate in forma non criptata, e un ex dipendente ha rivelato che oltre 150 milioni di dollari sono stati rubati da Alameda Research, a causa della scarsa sicurezza. L’uso del mixer Sinbad potrebbe indicare il coinvolgimento del Lazarus Group della Corea del Nord, autore di alcuni dei più grandi furti di criptovalute. Tuttavia, i metodi specifici utilizzati per riciclare i beni rubati sono distinti e poco sofisticati rispetto a quelli tipicamente utilizzati da Lazarus. Un attore legato alla Russia sembra una possibilità più forte. Tra i beni rubati che possono essere rintracciati attraverso ChipMixer, quantità significative sono combinate con fondi provenienti da gruppi criminali legati alla Russia, tra cui bande di ransomware e mercati darknet, prima di essere inviati agli exchange.2 Ciò indica il coinvolgimento di un broker o di un altro intermediario con un nesso in Russia.
Chiunque sia dietro l’hack, i beni rubati continuano a essere spostati e riciclati attraverso la blockchain. Per evitare il sequestro di questi beni e per tentare di nascondere la traccia del denaro, sono state utilizzate varie tecniche di riciclaggio incrociato e a catena incrociata. Ciononostante, il ladro ha perso circa 94 milioni di dollari nei primi giorni successivi all’hack, a causa dei sequestri da parte degli emittenti di token e dei costi di scambio rapido tra diversi asset e blockchain.
Nella foto sopra. il numero giornaliero di transazioni che coinvolgono gli asset rubati (prima di essere depositati nei mixer). Il riciclaggio iniziale è avvenuto tra il giorno dell’hack (12 novembre 2022) e la metà di dicembre 2022. Gli asset sono poi rimasti inattivi fino alla fine di settembre 2023. La linea rossa indica la data di inizio del processo Bankman-Fried.
È da notare che molti dei fondi rubati sono rimasti inattivi per diversi mesi, fino a poco prima dell’inizio del processo di Bankman-Fried a New York. È risaputo che i riciclatori di criptovalute aspettano anni per spostare e incassare i beni una volta che l’attenzione pubblica si è dissipata, ma in questo caso hanno iniziato a muoversi proprio quando l’attenzione del mondo è di nuovo rivolta all’FTX e agli eventi del novembre 2022.
