Der FTX-Hack: Die rätselhaften Wege von 600 Millionen Dollar

Kurz nach der Insolvenz wird die Börse FTX “gehackt”. Der Hacker erbeutet Token im Wert von mehr als einer halben Milliarde Dollar, wechselt sie gegen Ether – und wirft diese auf den Markt. Doch was hat die Regierung der Bahamas damit zu tun?

Der Kollaps von FTX hält den Markt in Atem und wir berichten weiter darüber. Heute wenden wir uns einer Sache zu, die bisher nur wenig Aufmerksamkeit fand: dem Hack – oder dem angeblichen Hack. Wie alles um FTX wird es … extrem.

Also: Wenige Stunden, nachdem FTX die Insolvenz erklärt hatte, am 12. November, berichtete die Börse von einem Hack: Man untersuche nicht-autorisierte Transaktionen, die Coins auszahlen.

Der Blockchain-Analyst Elliptic konkretisierte dies wenig später: Der “Hack” – Elliptic setzte das Wort absichtlich in Gänsefüßchen – führe Assets im Wert von 477 Millionen Dollar ab. Ein anderer Analyst, Nansen, schätzte die Beute auf 659 Millionen Dollar. Der konkrete Wert dürfte extrem fluktuieren, da es sich um einen ziemlich bunten Korb handelte: um eine Vielzahl von Coins – Stablecoins, DeFi-Token, Memecoins, Wrapped Ether …  – auf den verschiedensten Blockchains – Ethereum, Polygon, Solana, BNB, Avalanche, Tron etc.

Hundreds of millions of dollars are now flowing out of FTX wallets, some speculate liquidators but it's late on a friday night, not typical times for such rapid heavy movements. Some withdrawals are being swapped from Tether to DAI. Hack or insider actions? $26 million here pic.twitter.com/8wWlaE7na9

— foobar (@0xfoobar) November 12, 2022

Der Hacker begann danach augenblicklich, die Coins durch das DeFi-Ökosystem zu bewegen: Er führte sie zunächst über verschiedene Bridges auf die Ethereum-Blockchain und tauschte sie dort gegen Ether. Das geschah wohl, um sie davon zu schützen, eingefroren zu werden. Dies hat nicht ganz geklappt, da Tether und Paxos rasch reagierten und rund 100 Millionen Dollar in Stablecoins einfroren. Der Rest jedoch landete auf einer Ether-Wallet.

Der Hack kam zum richtigen Zeitpunkt. Er erschien ein wenig zu sehr wie bestellt, und natürlich dauerte es keine Sekunde, bis gemutmaßt wurde, es handele sich um einen Inside-Job: dass Sam Bankman-Fried oder ein anderer Mitarbeiter der bankrotten Börse sich raffte, was noch zu raffen war. Kurz danach erhärtete sich der Verdacht: Eine Transaktion führte zu einer Tron-Wallet der Börse Kraken, und deren CSO Nick Percoco erklärte, dass die Wallet mit dem offiziellen Account von FTX verbunden sei. Dieser Account sei nun natürlich eingefroren.

Damit könnte man den Fall also abschließen. Oder?

Ein Urheber, mit dem niemand gerechnet hätte

Die Erklärung ist auf unbefriedigende Weise zu einfach. Ein Insidejob – der dann den offiziellen Account bei Kraken nutzt? Jemand, der clever genug ist, die Coins abzuziehen, und der alle Register zieht, um sie vor Zensur zu schützen – so jemand macht einen so offensichtlichen Fehler?

Irgendetwas passt nicht zusammen.

Kurz danach kam ein neuer Verdächtiger ins Spiel, und zwar einer, mit dem niemand gerechnet hätte: die Regierung der Bahamas, wo FTX registriert war. In einem Antrag an das US-Insolvenzgericht in Delaware war das Folgende zu lesen, leider in etwas verklausuliertem Juristenslang:

In Verbindung mit der Untersuchung des Hacks am Samstag, den 13. November, erklärten Mr. Bankman-Fried und [FTX-Mitgründer und -CTO Gary] Wang, dass die ‘Regulierer der Bahamas’ die Anweisung gegeben haben, bestimmte Transfers von Assets der Schuldner durch Mr. Wang und Mr. Bankman-Fried (die, wie die Schuldner wissen, effektiv im Gewahrsam der Behörden der Bahamas waren) auszuführen […] Die Schuldner haben daher glaubwürdige Beweise dafür, dass die Regierung der Bahamas dafür verantwortlich ist, unautorisierten Zugang zum System des Schuldnerns verlangt zu haben mit der Absicht, dessen digitale Assets zu erlangen …

In einer kurz darauf folgenden Pressemitteilung bestätigte die Regierung der Bahamas dies mit klareren Worten:

Nassau, die Bahamas, Donnerstag 17. November 2022 – Am 12. November 2022 ordnete die Börsenaufsicht der Bahamas (‘die Kommission’) […] an, dass alle digitalen Assets von FTX Digital Markets Ltd. auf eine digitale Wallet überwiesen werden, die durch die Kommission kontrolliert wird.

Nun ergibt die Geschichte Sinn: Sam Bankman-Fried oder – eher – Gary Wang hat auf Anweisung der Regierung der Bahamas die Wallets leergeräumt. Daher der offizielle Account bei Kraken. Dass die Regierung eines Kleinstaates der Karibik die Methoden von Hackern verwendet, um eine bankrotte Börse auszuplündern, ist aufregend. Oder, wie es jemand auf Twitter ausdrückt: “Die SEC dachte, sie wären gangsta; dann kam die Börsenaufsicht der Bahamas aufs Feld.”

SEC thought they were gangsta; then the Bahamanian Securities Commission walked onto the yard pic.twitter.com/pRKVHhrqkp

— _gabrielShapir0 (@lex_node) November 18, 2022

Durch den Wechsel hatte der Hacker auf seiner Wallet 228.523 Ether akumuliert, zu diesem Zeitpunkt fast 300 Millionen Dollar wert. Das machte ihn zum 35.-größten Ethereum-Holder. Ihn – also die Regierung der Bahamas, was wieder aufregend ist.

Oder? Fehlt uns womöglich noch immer ein Puzzlestück?

Schwarz und Weiß

Wenn die Regierung der Bahamas den “Hack” angeordnet hat, ergibt es einigermaßen Sinn, dass die Coins auf einen offiziellen Account von FTX flossen. Aber es macht eine andere Facette der Geschichte eher noch absurder: dass der Hacker sich wie ein Hacker verhielt – und nicht damit aufhörte.

Update: FTX Hacker is now actively dumping ETH on-chain

He has dumped about $15 million ETH in the past 30 minutes and just prepped a fresh batch of $12 million

Still has $270m ETH in main wallet

He's selling ETH to wBTC to renBTC through aggregators like 1inch https://t.co/mEd8UHFCO0

— kamikaz ΞTH 🦇🔊 (@kamikaz_ETH) November 20, 2022

Am 20. November begann der Hacker, die Ether durch onchain-Börsen zu verkaufen. Nicht gegen Dollar-Token, sondern gegen tokenisierte Bitcoins, entweder wBTC oder renBTC. Würde die Regierung der Bahamas wirklich so reagieren? Wäre es rechtsgemäß, konfiszierte Assets zu tauschen? Spätestens an der Stelle machten sich Zweifel an dieser Variante breit.

1/ I have seen a ton of misinformation being spread on Twitter and in the news about the FTX event so let me debunk the three most common things I’ve seen

“Bahamian officials are behind the FTX hack”
“Exchanges know who the hacker is”
“FTX hacker is trading meme coins” pic.twitter.com/IAtHnpJI44

— ZachXBT (@zachxbt) November 20, 2022

Eine plausible Erklärung liefert der Analyst ZachXBT: Es war sowohl als auch. Sowohl ein Hacker – als auch die Regierung der Bahamas. FTX wurde von zwei Händen geplündert, von einem White Hat, im Auftrag der Regierung, und einem Black Hat, einem Kriminellen.

Die beiden verhalten sich vollkommen unterschiedlich: Der White Hat zahlte die Coins auf Multisig-Adressen aus und sandte sie von dort teilweise auf Börsen wie Kraken. So verhält sich jemand, der nichts zu verbergen hat.

Eine andere Adresse – 0x59 – verhielt sich ganz anders. Sie verkaufte Token und benutzte Bridges, um die Coins auf der Ethereum-Adresse zu akumulieren. Sie sandte über Umwege Coins zur Börse Huobi, die für laxe Geldwäschekontrollen bekannt ist, und passierte bei den Umwegen eine Adresse, die mit einer halblegalen russischen Börse in Verbindung steht. Sie verhielt sich wie ein Dieb in der Nacht.

Aber warum verkauft der Hacker die Ether? Was bringt es ihm, Bitcoin-Token zu haben, die durch Anbieter wie BitGo (WBTC) womöglich eingefroren werden können?

Diese Frage führt uns zum letzten spannenden Detail des Hacks.

Geldwäsche, mal anders

Der Verkauf der Ether gegen Bitcoin setzte sich die folgenden Tage fort. Paket für Paket. Das hatte den Effekt, dass der Preis von Ether gegen Bitcoin massiv einstürzte, von etwa 0,073 auf 0,069 BTC.

Dann präsentierte der Web3-Datenanalyst d0xScope einen interessanten Fund, der vieles erklärt: eine Adresse, die sich mehr als 10 Millionen Dollar in USDC oder Ether über DeFi-Plattformen lieh und diese auf Börsen einzahlte – immer wieder, und jedesmal, bevor der FTX-Hacker Ether verkaufte.

🎯Target: 0xd275e5cb559d6dc236a5f8002a5f0b4c8e610701

⏳Time: 2022-11-21 UTC
14:11 0xd275 transferred 15,000 $ETH to the exchange
16:11 the FTX hacker began to transfer 15,000 $ETH to multiple addresses

Both happened to transfer the same amount. pic.twitter.com/K7trVclHUF

— 0xScope (@ScopeProtocol) November 22, 2022

Damit formt sich eine interessante Idee, wie der Hacker seine Beute auscashte:  Anstatt die Coins selbst über Mixer und andere Methoden sauber zu kriegen, manipuliert er die Märkte, um davon mit einem anderen Account, der in keiner Verbindung zum Hack steht, zu profitieren, indem er auf fallende Kurse setzt.

Die logische Folge wäre – oder ist bereits – dass er nach dem Abwurf der Ether wieder die Bitcoins gegen Ether verkauft, um durch die umgekehrte Wette Geld zu verdienen. Und so weiter – bis er, vermutlich eher früher als später, auffliegt. Vermutlich sind seine Accounts bei den Börsen bereits bekannt und gesperrt.