加密貨幣交易所 FTX 在 2022 年 11 月申請破產後不久疑似遭駭客攻擊,其錢包地址出現未經授權的加密貨幣提款,流出資金約 4.77 億美元。目前尚無法辨別幕後黑手,然而,區塊鏈分析公司 Elliptic 在週四(12日)發布的文章中表示,一部分被盜資產似乎與俄羅斯相關犯罪集團有關。
Elliptic 表示,駭客在從 FTX 盜取資金後將代幣陸續轉換成以太幣(ETH)等「原生資產」,使得資金無法被發行商凍結。駭客隨後透過與 Alameda Research 相關的跨鏈橋 RenBridge 將 65,000 顆以太幣(價值約 7,400 萬美元)轉移到比特幣(BTC)區塊鏈上。
在透過 RenBridge 從以太幣轉換的 4,536 顆比特幣中,有 2,849 顆後來被發送到混幣協議(主要是 ChipMixer)。Elliptic 表示,這些資金隨後與俄羅斯犯罪網路有關的資產混合在一起,其中包括勒索軟體集團和暗網市場。
被竊取的大部分資金一直處於休眠狀態,直到最近 FTX 創辦人 Sam Bankman-Fried(SBF)開庭前幾天再次出現活動。駭客使用跨鏈 DEX 聚合器 THORSwap 將約 72,500 顆 ETH(約 1.2 億美元)兌換成比特幣。Elliptic 指出,即使在 THORSwap 為了遏制「潛在非法活動」而宣布暫時進入維護模式之後,駭客仍設法透過其他管道在 THORChain 上跨鏈轉移資金。
駭客後來透過與 Lazarus Group 有關的混幣協議 Sinbad 轉移跨鏈後的比特幣,雖然 Sinbad 的使用讓人們懷疑這起被盜事件與 Lazarus Group 有關,但 Elliptic 認為,這裡採取的洗錢策略並不複雜,駭客更有可能與俄羅斯關聯實體有關。
Elliptic 表示:
「很可能是一名與俄羅斯有關的行為者,在追蹤流經 ChipMixer 的被盜資產時,我們發現有大量資金與來自俄羅斯關聯犯罪實體的資金混合在一起,然後被發送到交易所。這些資金的混合表明可能有來自俄羅斯的經紀商或中介機構涉入其中。」
駭客的身份眾說紛紜,Elliptic 認為這起竊案也可能是一次內部行動,涉及 FTX 員工,甚至有人懷疑 SBF 就是幕後黑手,不過 Elliptic 在文章中表示,SBF 可能有不在場證明。美東時間 2023 年 10 月 4 日下午 3 點,1,500 萬美元的被盜資產透過 ThorChain 轉移,據報導,當時 SBF 正在法庭上,無法上網。
