Newsticker

Der FTX-Hack: Die rätselhaften Wege von 600 Millionen Dollar

Leuchtturm auf einer der Inseln der Bahamas. Bild von Dustin Williams, Lizenz: Öffentliche Domäne

Kurz nach der Insolvenz wird die Börse FTX „gehackt“. Der Hacker erbeutet Token im Wert von mehr als einer halben Milliarde Dollar, wechselt sie gegen Ether – und wirft diese auf den Markt. Doch was hat die Regierung der Bahamas damit zu tun?

Der Kollaps von FTX hält den Markt in Atem und wir berichten weiter darüber. Heute wenden wir uns einer Sache zu, die bisher nur wenig Aufmerksamkeit fand: dem Hack – oder dem angeblichen Hack. Wie alles um FTX wird es … extrem.

Also: Wenige Stunden, nachdem FTX die Insolvenz erklärt hatte, am 12. November, berichtete die Börse von einem Hack: Man untersuche nicht-autorisierte Transaktionen, die Coins auszahlen.

Der Blockchain-Analyst Elliptic konkretisierte dies wenig später: Der „Hack“ – Elliptic setzte das Wort absichtlich in Gänsefüßchen – führe Assets im Wert von 477 Millionen Dollar ab. Ein anderer Analyst, Nansen, schätzte die Beute auf 659 Millionen Dollar. Der konkrete Wert dürfte extrem fluktuieren, da es sich um einen ziemlich bunten Korb handelte: um eine Vielzahl von Coins – Stablecoins, DeFi-Token, Memecoins, Wrapped Ether …  – auf den verschiedensten Blockchains – Ethereum, Polygon, Solana, BNB, Avalanche, Tron etc.

Der Hacker begann danach augenblicklich, die Coins durch das DeFi-Ökosystem zu bewegen: Er führte sie zunächst über verschiedene Bridges auf die Ethereum-Blockchain und tauschte sie dort gegen Ether. Das geschah wohl, um sie davon zu schützen, eingefroren zu werden. Dies hat nicht ganz geklappt, da Tether und Paxos rasch reagierten und rund 100 Millionen Dollar in Stablecoins einfroren. Der Rest jedoch landete auf einer Ether-Wallet.

Der Hack kam zum richtigen Zeitpunkt. Er erschien ein wenig zu sehr wie bestellt, und natürlich dauerte es keine Sekunde, bis gemutmaßt wurde, es handele sich um einen Inside-Job: dass Sam Bankman-Fried oder ein anderer Mitarbeiter der bankrotten Börse sich raffte, was noch zu raffen war. Kurz danach erhärtete sich der Verdacht: Eine Transaktion führte zu einer Tron-Wallet der Börse Kraken, und deren CSO Nick Percoco erklärte, dass die Wallet mit dem offiziellen Account von FTX verbunden sei. Dieser Account sei nun natürlich eingefroren.

Damit könnte man den Fall also abschließen. Oder?

Ein Urheber, mit dem niemand gerechnet hätte

Die Erklärung ist auf unbefriedigende Weise zu einfach. Ein Insidejob – der dann den offiziellen Account bei Kraken nutzt? Jemand, der clever genug ist, die Coins abzuziehen, und der alle Register zieht, um sie vor Zensur zu schützen – so jemand macht einen so offensichtlichen Fehler?

Irgendetwas passt nicht zusammen.

Kurz danach kam ein neuer Verdächtiger ins Spiel, und zwar einer, mit dem niemand gerechnet hätte: die Regierung der Bahamas, wo FTX registriert war. In einem Antrag an das US-Insolvenzgericht in Delaware war das Folgende zu lesen, leider in etwas verklausuliertem Juristenslang:

In Verbindung mit der Untersuchung des Hacks am Samstag, den 13. November, erklärten Mr. Bankman-Fried und [FTX-Mitgründer und -CTO Gary] Wang, dass die ‚Regulierer der Bahamas‘ die Anweisung gegeben haben, bestimmte Transfers von Assets der Schuldner durch Mr. Wang und Mr. Bankman-Fried (die, wie die Schuldner wissen, effektiv im Gewahrsam der Behörden der Bahamas waren) auszuführen […] Die Schuldner haben daher glaubwürdige Beweise dafür, dass die Regierung der Bahamas dafür verantwortlich ist, unautorisierten Zugang zum System des Schuldnerns verlangt zu haben mit der Absicht, dessen digitale Assets zu erlangen …

In einer kurz darauf folgenden Pressemitteilung bestätigte die Regierung der Bahamas dies mit klareren Worten:

Nassau, die Bahamas, Donnerstag 17. November 2022 – Am 12. November 2022 ordnete die Börsenaufsicht der Bahamas (‚die Kommission‘) […] an, dass alle digitalen Assets von FTX Digital Markets Ltd. auf eine digitale Wallet überwiesen werden, die durch die Kommission kontrolliert wird.

Nun ergibt die Geschichte Sinn: Sam Bankman-Fried oder – eher – Gary Wang hat auf Anweisung der Regierung der Bahamas die Wallets leergeräumt. Daher der offizielle Account bei Kraken. Dass die Regierung eines Kleinstaates der Karibik die Methoden von Hackern verwendet, um eine bankrotte Börse auszuplündern, ist aufregend. Oder, wie es jemand auf Twitter ausdrückt: „Die SEC dachte, sie wären gangsta; dann kam die Börsenaufsicht der Bahamas aufs Feld.“

Durch den Wechsel hatte der Hacker auf seiner Wallet 228.523 Ether akumuliert, zu diesem Zeitpunkt fast 300 Millionen Dollar wert. Das machte ihn zum 35.-größten Ethereum-Holder. Ihn – also die Regierung der Bahamas, was wieder aufregend ist.

Oder? Fehlt uns womöglich noch immer ein Puzzlestück?

Schwarz und Weiß

Wenn die Regierung der Bahamas den „Hack“ angeordnet hat, ergibt es einigermaßen Sinn, dass die Coins auf einen offiziellen Account von FTX flossen. Aber es macht eine andere Facette der Geschichte eher noch absurder: dass der Hacker sich wie ein Hacker verhielt – und nicht damit aufhörte.

Am 20. November begann der Hacker, die Ether durch onchain-Börsen zu verkaufen. Nicht gegen Dollar-Token, sondern gegen tokenisierte Bitcoins, entweder wBTC oder renBTC. Würde die Regierung der Bahamas wirklich so reagieren? Wäre es rechtsgemäß, konfiszierte Assets zu tauschen? Spätestens an der Stelle machten sich Zweifel an dieser Variante breit.

Eine plausible Erklärung liefert der Analyst ZachXBT: Es war sowohl als auch. Sowohl ein Hacker – als auch die Regierung der Bahamas. FTX wurde von zwei Händen geplündert, von einem White Hat, im Auftrag der Regierung, und einem Black Hat, einem Kriminellen.

Die beiden verhalten sich vollkommen unterschiedlich: Der White Hat zahlte die Coins auf Multisig-Adressen aus und sandte sie von dort teilweise auf Börsen wie Kraken. So verhält sich jemand, der nichts zu verbergen hat.

Eine andere Adresse – 0x59 – verhielt sich ganz anders. Sie verkaufte Token und benutzte Bridges, um die Coins auf der Ethereum-Adresse zu akumulieren. Sie sandte über Umwege Coins zur Börse Huobi, die für laxe Geldwäschekontrollen bekannt ist, und passierte bei den Umwegen eine Adresse, die mit einer halblegalen russischen Börse in Verbindung steht. Sie verhielt sich wie ein Dieb in der Nacht.

Aber warum verkauft der Hacker die Ether? Was bringt es ihm, Bitcoin-Token zu haben, die durch Anbieter wie BitGo (WBTC) womöglich eingefroren werden können?

Diese Frage führt uns zum letzten spannenden Detail des Hacks.

Geldwäsche, mal anders

Der Verkauf der Ether gegen Bitcoin setzte sich die folgenden Tage fort. Paket für Paket. Das hatte den Effekt, dass der Preis von Ether gegen Bitcoin massiv einstürzte, von etwa 0,073 auf 0,069 BTC.

Dann präsentierte der Web3-Datenanalyst d0xScope einen interessanten Fund, der vieles erklärt: eine Adresse, die sich mehr als 10 Millionen Dollar in USDC oder Ether über DeFi-Plattformen lieh und diese auf Börsen einzahlte – immer wieder, und jedesmal, bevor der FTX-Hacker Ether verkaufte.

Damit formt sich eine interessante Idee, wie der Hacker seine Beute auscashte:  Anstatt die Coins selbst über Mixer und andere Methoden sauber zu kriegen, manipuliert er die Märkte, um davon mit einem anderen Account, der in keiner Verbindung zum Hack steht, zu profitieren, indem er auf fallende Kurse setzt.

Die logische Folge wäre – oder ist bereits – dass er nach dem Abwurf der Ether wieder die Bitcoins gegen Ether verkauft, um durch die umgekehrte Wette Geld zu verdienen. Und so weiter – bis er, vermutlich eher früher als später, auffliegt. Vermutlich sind seine Accounts bei den Börsen bereits bekannt und gesperrt.

Über Christoph Bergmann (2410 Artikel)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder ---

1 Kommentar zu Der FTX-Hack: Die rätselhaften Wege von 600 Millionen Dollar

  1. Mensch ist das spanend es wird mich nicht wundern wenn Netflix darüber ein Film oder Serie macht.

Kommentar verfassen

%d Bloggern gefällt das: