Загадка крадіжки $400 мільйонів Крипто від FTX розкрита: викрито SIM-замінний синдикат

Ключові висновки

• Трьох осіб (Роберт Пауелл, Картер Рон, Емілі Ернандес) було обвинувачено в організації складної операції з ідентифікації шляхом заміни SIM-карт, яка успішно вкрала $400 мільйонів з FTX під час його краху в листопаді 2022 року.
• Зловмисники використали вразливості мобільної аутентифікації для перехоплення 2FA-кодів, отримуючи несанкціонований доступ до крипто-гаманець FTX під час хаосу, пов'язаного з банкрутством біржі.
• Технічний аналіз показує, що атака використовувала соціальну інженерію проти протоколів безпеки облікового запису AT&T, підкреслюючи критичні слабкості в системах автентифікації на основі телефону.
• Фірма з блокчейн-судмедекспертизи Elliptic відстежила приблизно $300 мільйон вкраденого ефіру, що відмивається через кримінальні мережі, пов'язані з Росією, після конвертації в біткоїн.

Розгалужена операція з підміною SIM-карт

Після майже року спекуляцій щодо крадіжки криптовалюти FTX, чиновники Міністерства юстиції США висунули обвинувачення трьом особам - Роберту Пауеллу, Картеру Рону та Емілі Ернандес - у виконанні пограбування на $400 мільйон. Трійка керувала широкою мережею SIM-свопінгу, яка жертвувала десятками високовартісних цілей протягом двох років, що завершилося атакою на FTX.

Їхня методологія полягала в створенні складних фальшивих ідентифікаційних документів для видавання себе за жертв та переконання мобільних операторів у передачі номерів телефонів на SIM-картки, контрольовані нападниками. Ця техніка ефективно обходила системи багатофакторної аутентифікації, які покладаються на SMS або телефонну верифікацію - уразливість безпеки, яка залишається поширеною в екосистемі криптовалют.

Операції групи показали прогресивне зростання цільової вартості та технічної складності. У тижні, що передували атаці на FTX, вони успішно виконали менші, але значні пограбування, викравши приблизно 300,000 доларів США в криптовалюті у однієї жертви та понад $1 мільйон у іншої, вдосконалюючи свої техніки перед основною атакою.

Ідеальний час: Удар під час хаосу банкрутства

Що робить цю справу особливо помітною серед великих крипто-крадіжок, так це стратегічний таймінг нападників. Група свідомо націлилася на співробітника FTX 11 листопада 2022 року — в саме той день, коли біржа подала заяву про банкрутство на тлі свого катастрофічного краху.

Пауел, якого визначили як керівника операції, наказав своїм спільникам здійснити обмін SIM-карткою проти конкретного співробітника FTX, який мав обліковий запис AT&T. Це точне націлювання вказує на те, що зловмисники провели детальну розвідку, щоб виявити критично важливих співробітників, які мають доступ до гаманців біржі.

Отримавши доступ до кодів автентифікації працівників, зловмисники методично вивели понад $400 мільйон у різних криптовалютах протягом кількох годин, переводячи активи на гаманці під своїм контролем. Часування було так точно узгоджено з організаційним хаосом FTX, що багато аналітиків галузі спочатку підозрювали внутрішню справу, а не зовнішнє порушення.

Технічний розбір ланцюга атаки

Вектор атаки експлуатував основну вразливість безпеки в багатьох системах зберігання криптовалюти - залежність від автентифікації на основі телефону як механізму відновлення або перевірки. Технічне виконання включало:

1. Початковий компроміс: Соціальна інженерія служби підтримки клієнтів AT&T для виконання обміну SIM-карт.
2. Обхід аутентифікації: Перехоплення одноразових паролів та кодів підтвердження, надісланих на скомпрометований номер телефону
3. Ескалація доступу: Використання перехоплених кодів для скидання облікових даних або авторизації транзакцій високої вартості
4. Швидка ексфільтрація: Переміщення активів через кілька гаманців для ускладнення відстеження

Цей підхід демонструє, чому експерти з безпеки постійно попереджають про використання SMS-автентифікації з двома факторами для захисту активів криптовалюти високої вартості. Апаратні ключі безпеки та механізми офлайн-підпису забезпечують значно сильніший захист від цього вектору атак.

Відстеження грошей: Відстеження вкрадених активів

Хоча арешти вирішили питання про те, хто здійснив крадіжку, шлях вкрадених коштів залишається частково прихованим. Компанія з аналізу блокчейну Elliptic повідомила в жовтні, що приблизно $300 мільйон вкраденого Ефіру був конвертований у Біткоїн і потім прокладений через операції з відмивання грошей, пов'язані з Росією.

Цей шаблон відповідає тенденціям, які спостерігаються в інших великих крадіжках криптовалют, де вкрадені активи зазвичай проходять через кілька точок конвертації та міксуючих сервісів, перш ніж потрапити в більш традиційні фінансові системи або бути конвертованими в криптовалюти, орієнтовані на конфіденційність.

Міжнародний характер цих операцій з відмивання грошей створює значні виклики для зусиль з відновлення активів. Однак прозорість транзакцій у блокчейні дозволила слідчим відстежувати значні частини вкрадених коштів, що потенційно може призвести до додаткових заходів примусу проти мереж відмивання грошей.

Наслідки для практики безпеки бірж

Цей випадок підкреслює критичні вразливості, які продовжують впливати навіть на складні організації в сфері криптовалют. Успішна експлуатація систем аутентифікації на основі телефону демонструє, що технічні заходи безпеки можуть бути підірвані атаками соціальної інженерії проти сторонніх постачальників послуг.

Для власників криптовалют і торгових платформ цей інцидент підкреслює кілька важливих уроків безпеки:

• Аутентифікація на основі телефону є значною вразливістю безпеки
• Контроль доступу співробітників вимагає постійного моніторингу та перевірки
• Кризові періоди, такі як банкрутства, створюють особливо ризиковані умови безпеки.
• Перехресні залежності аутентифікації потребують ретельного аудиту безпеки

Криптовалютна індустрія продовжує вдосконалювати свої практики безпеки у відповідь на все більш складні атаки. Апаратні модулі безпеки, схеми авторизації з кількома підписами та розширене моніторинг поведінки представляють собою сучасні передові засоби захисту від подібних спроб експлуатації.

Оскільки правоохоронні органи продовжують розслідування грошового сліду, ця справа, ймовірно, надасть додаткові відомості як про технічні вразливості, що були використані, так і про фінансові мережі, які сприяють операціям з відмивання криптовалюти.