Раскрыта загадка кражи $400 миллиона Крипто у FTX: разоблачена схема SIM-замены

Ключевые Инсайты

• Трое лиц (Роберт Пауэлл, Картер Рон, Эмили Эрнандес) были обвинены в организации сложной схемы мошенничества с идентификацией через SIM-карты, которая успешно украла $400 миллионов долларов у FTX во время его краха в ноябре 2022 года.
• Злоумышленники использовали уязвимости мобильной аутентификации, чтобы перехватить коды 2FA, получив несанкционированный доступ к криптокошелькам FTX во время хаоса, связанного с подачей заявления о банкротстве биржи.
• Технический анализ показывает, что атака использовала социальную инженерию против протоколов безопасности аккаунтов AT&T, подчеркивая критические слабости в системах аутентификации на основе телефонных звонков.
• Блокчейн-экспертная компания Elliptic отслежила примерно $300 миллион украденного Эфира, который отмывается через преступные сети с российскими связями после конвертации в Биткойн.

Сложная операция SIM-свопа

После почти года спекуляций по поводу кражи криптовалюты FTX, чиновники Министерства юстиции США предъявили обвинения трем лицам - Роберту Пауэллу, Картеру Рону и Эмили Эрнандес - в осуществлении кражи на сумму $400 миллионов долларов. Троица управляла обширной сетью SIM-менений, жертвой которой стали десятки высокоценимых объектов в течение двух лет, что culminировало в атаке на FTX.

Их методология заключалась в создании сложных поддельных удостоверений личности для выдачи себя за жертв и убеждении мобильных операторов перевести номера телефонов на SIM-карты, контролируемые злоумышленниками. Эта техника эффективно обходила системы многофакторной аутентификации, которые полагаются на SMS или телефонную верификацию — уязвимость в безопасности, которая остается широко распространенной в экосистеме криптовалют.

Операции группы продемонстрировали прогрессивное наращивание целевой ценности и технической сложности. В недели, предшествующие атаке на FTX, они успешно провели меньшие, но значительные ограбления, похитив около 300 000 долларов в криптовалюте у одной жертвы и более $1 миллиона у другой, оттачивая свои техники перед основной атакой.

Идеальное время: Удар во время хаоса банкротства

Что делает этот случай особенно примечательным среди крупных краж криптовалюты, так это стратегическое время атаки. Группа целенаправленно нацелилась на сотрудника FTX 11 ноября 2022 года - в тот самый день, когда биржа подала заявление о банкротстве на фоне своего катастрофического падения.

Пауэлл, идентифицированный как лидер операции, дал указание своим сообщникам провести SIM-замену против конкретного сотрудника FTX, который имел аккаунт в AT&T. Это точное нацеливание указывает на то, что злоумышленники провели обширную разведку, чтобы выявить ключевых сотрудников с доступом к кошелькам биржи.

Получив доступ к кодам аутентификации сотрудников, злоумышленники методично вывели более $400 миллионов в различных криптовалютах всего за несколько часов, переводя активы на кошельки под их контролем. Тайминг был так точно согласован с организационным хаосом FTX, что многие отраслевые аналитики изначально заподозрили внутреннюю работу, а не внешнее нарушение.

Технический анализ цепочки атак

Вектор атаки использовал фундаментальную уязвимость безопасности во многих системах хранения криптовалюты - зависимость от аутентификации на основе телефона в качестве механизма восстановления или проверки. Техническая реализация включала:

1. Первичное компрометирование: Социальная инженерия службы поддержки клиентов AT&T для выполнения замены SIM-карты
2. Обход аутентификации: Перехват одноразовых паролей и кодов подтверждения, отправляемых на скомпрометированный номер телефона
3. Эскалация доступа: Использование перехваченных кодов для сброса учетных данных или авторизации высокоценных транзакций
4. Быстрая эксфильтрация: Перемещение активов через несколько кошельков для усложнения отслеживания

Этот подход демонстрирует, почему эксперты по безопасности постоянно предостерегают от использования SMS-авторизации с двумя факторами для защиты высокоценных криптовалютных активов. Аппаратные ключи безопасности и механизмы оффлайн-подписания обеспечивают значительно более сильную защиту от этого вектора атак.

Следуя за деньгами: отслеживание украденных активов

Хотя аресты решили вопрос о том, кто совершил кражу, путь украденных средств остается частично неясным. Блокчейн-аналитическая компания Elliptic сообщила в октябре, что примерно $300 миллион украденного Эфира был конвертирован в Биткойн и затем отмыт через связанные с Россией операции по отмыванию денег.

Эта схема соответствует тенденциям, наблюдаемым в других крупных кражах криптовалют, когда украденные активы обычно проходят через несколько точек конверсии и сервисов смешивания, прежде чем попасть в более традиционные финансовые системы или быть конвертированными в криптовалюты с фокусом на конфиденциальность.

Международный характер этих операций по отмыванию денег представляет собой значительные проблемы для усилий по возврату активов. Тем не менее, прозрачность транзакций в блокчейне позволила следователям отслеживать значительные части украденных средств, что потенциально может привести к дополнительным мерам правоприменения против сетей отмывания.

Последствия для практики безопасности обмена

Этот случай подчеркивает критические уязвимости, которые продолжают затрагивать даже сложные криптовалютные организации. Успешная эксплуатация систем аутентификации на основе телефонов демонстрирует, что технические меры безопасности могут быть подорваны атаками социального инженерии на сторонние сервисы.

Для держателей криптовалюты и торговых платформ этот инцидент подчеркивает несколько важных уроков по безопасности:

• Аутентификация на основе телефона представляет собой значительную уязвимость безопасности
• Контроль доступа сотрудников требует постоянного мониторинга и проверки
• Кризисные периоды, такие как банкротства, создают особенно высокие риски для безопасности.
• Кросс-платформенные зависимости аутентификации нуждаются в тщательных проверках безопасности

Криптовалютная индустрия продолжает развивать свои практики безопасности в ответ на все более сложные атаки. Аппаратные модули безопасности, схемы авторизации с многофакторной подписью и передовое поведенческое мониторирование представляют собой современные средства защиты от подобных попыток эксплуатации.

Поскольку правоохранительные органы продолжают расследовать финансовые потоки, это дело, вероятно, даст дополнительные сведения как о технических уязвимостях, которые были использованы, так и о финансовых сетях, которые способствуют операциям по отмыванию криптовалют.