FTX 申告破产后,传出骇客或内部盗走资金的事件,有数亿美金资产遭转移,并于中心化与去中心化平台变卖。关于这件事的后续,有多种说法:
(1) 巴哈马政府要求转移
11/11 FTX 官方与前员工表示为配合巴哈马政府监管所为,11/13 巴哈马当局出面否认有指示 FTX,11/18 巴哈马再出面承认于 11/12 控制部分 FTX 资产。
(2) 前员工或骇客所为
事件发生时,FTX 官方表示此非授权交易,前任执行长 SBF 受访时也表示,不是前员工就是员工电脑遭植入恶意软体。
无论如何,在链上被标记「抢夺」的地址,仍在转换盗来的各种资产。据巴哈马政府陈述,他们保管的数位资产是存放于托管商 Fireblocks 的帐户 ; 因此可知,不可能又再链上进行各种换链与变卖的行动。
(3) 交易所 Kraken 已掌握骇客身份
一位投资公司创办人引述资安公司说法,表示 FTX 未授权交易事件,很可能是源自一位经验不足的内部人员(原文是写insider),他有使用美国交易所 Kraken 来释出资金。虽然这样说的没头没尾,但 Kraken 的资安长在底下回复:我们知道那位用户的身分。
(4) 被误传的 FTX 骇客身份
网路新闻指称:「骇客遭爆是 FTX 前工程师 Samuel Hyde」但 Samuel Hyde 其实是美国喜剧演员,由推特号 @tittyrespecter 传出的 FTX 骇客照片,其实只是迷因图片。
因为有诸多流言疯传,著名链上侦探的 ZachXBT 做了详细的分析,来破除「骇客 = 巴哈马政府」、「Kraken 掌握骇客身份」等误导资讯。
骇客地址 0X59 既不属于 FTX 也不是巴哈马
ZachXBT 表示,地址 0X59 曾是个黑客,他既不是巴哈马官方,也不是 FTX 团队。(ZachXBT 提到的地址)
证明这件事的线索是从他 11/12 开始用各种跨链桥,来卖 ETH、DAI 跟 BNB,让这些币没有办法被冻结开始。ZachXBT 强调 0X59 在链上兑币时发生的高度滑价,例如他将 AAVE 卖掉时,滑价了高达四百万美元。
2/ The first clue that 0x59 was a blackhat and neither Bahamian officials or FTX team was when 0x59 began selling tokens for ETH, DAI, and BNB and using a variety of bridges so crypto couldn’t be frozen on 11/12.
Also look at the slippage on some of these swaps pic.twitter.com/SwKYyBOox2
— ZachXBT (@zachxbt) November 20, 2022
变卖资产模式是 ZachXBT 判断的关键。他表示,0x59 的行为模式跟其他从 FTX 提取的地址不一样,其他地址是有多签来保管资金,而 0x59 会卖掉代币,并且偶尔将资产跨到别的链上。
第二个线索:采用可疑服务
0x59 在 11/12 曾经透过 BNB Chain 将 3168 个 BNB 转到 0x24 开头的地址,再转到火币交易所。而这个 0x24 地址就有用过一些可疑的小交易所:俄罗斯交易所 Laslobit。
第三个线索:资金洗到 Ren 跨链桥
0x59 将 ETH 转换成 renBTC,接着使用 REN 跨链桥。这很明显就是希望透过跨链来清洗资金。
澄清误会:Kraken 掌握到的并非骇客
ZachXBT 表示,有许多误导资讯认为,Kraken 或是其他交易所已经找到骇客,但其实是 FTX 透过多签地址将资金转移到 TRON 链上钱包。之所以 Kraken 会被用到,是因为 FTX 的热钱包缺少 TRX 作为 Gas 费用。同样的行为模式在另一个多签地址 0x97 上面也有见到。
多签地址的资金转移仅为保护资金
ZachXBT 表示,这些多签地址的转移,与 FTX 法务顾问表示,基于防御考量,已开始将所有数位资产转移至冷储存一事相吻合。而且这些动作也都在 0x59 发生之后。
骇客没有在交易迷因币
ZachXBT 也想破除人们对骇客有在交易迷因币的传闻。事实上,这只是一种透过智能合约,来欺骗区块浏览器 EtherScan 错误显示代币发送者的伎俩。
审视你看到的资讯,慎选媒体
ZachXBT 表示,一定要审视自己接收到的资讯,很多人都在利用 FTX 事件在乱编故事。
因为有诸多流言疯传,著名链上侦探的 ZachXBT 做了详细的分析,来破除「骇客 = 巴哈马政府」、「Kraken 掌握骇客身份」等误导资讯。