Bên trong Cuộc Đua Cả Đêm của FTX để Ngăn Chặn Một Vụ Ăn Cắp Crypto 1 Tỷ Đô

Vào buổi tối ngày 11 tháng 11 năm ngoái, đội ngũ nhân viên của FTX đã trải qua một trong những ngày tồi tệ nhất trong lịch sử ngắn ngủi của công ty. Đã từng là một trong những sàn giao dịch tiền điện tử hàng đầu thế giới, được định giá 32 tỷ đô la chỉ cách đây 10 tháng, công ty vừa tuyên bố phá sản. Các nhà quản lý sau một cuộc đấu tranh kéo dài đã thuyết phục CEO của công ty, Sam Bankman-Fried, nhường lại quyền lực cho John Ray III, một giám đốc điều hành mới nhiệm vụ giữ cho công ty qua một khu rừng nợ nhiều kinh khủng, nhiều trong số đó dường như không có phương tiện để thanh toán.

FTX, dường như, đã chạm đáy. Cho đến khi một người nào đó—một tên trộm chưa được xác định—chọn thời điểm cụ thể đó để làm cho mọi thứ trở nên tồi tệ hơn nhiều. Vào buổi tối thứ Sáu đó, các nhân viên FTX mệt mỏi bắt đầu thấy những dòng tiền điện tử bí ẩn của công ty, được công khai bắt giữ trên trang web Etherscan theo dõi chuỗi khối Ethereum, đại diện cho hàng trăm triệu đô la crypto đang bị đánh cắp trong thời gian thực.

“Trời ơi,” một cựu nhân viên FTX, người đã yêu cầu không được tiết lộ tên vì họ không được ủy quyền nói về các vấn đề nội bộ của công ty, nhớ lại. “Sau tất cả những điều này, chúng ta đang bị hack à?”

Theo sổ sách của chính mình, FTX cuối cùng sẽ mất giữa $415 triệu và $432 triệu đô la từ các kho tiền điện tử của mình cho những tên trộm chưa xác định đó, con số mà công ty đã công khai xác nhận là một phần của quá trình phá sản của mình. Điều mà FTX trước đó chưa tiết lộ là nó có thể đã đến rất gần việc mất nhiều hơn—cách mà nhân viên và các chuyên gia ngoại vi đua nhau chuyển hơn $1 tỷ giá trị tiền điện tử vào nơi lưu trữ an toàn hơn trước khi bị đánh cắp bởi sự hiện diện ác ý trên mạng của nó—thậm chí, tại một thời điểm, phải vội vã gửi gần nửa tỷ đô la vào một ổ đĩa USB vật lý trong văn phòng của một chuyên gia tư vấn để giữ cho nó không rơi vào tay của những tên trộm.

Khi phiên tòa của người sáng lập FTX bị sỉ nhục Sam Bankman-Fried bước vào tuần thứ hai, nhiều người trong cộng đồng tiền điện tử đang theo dõi sự kiện tòa án để tìm bất kỳ dấu hiệu nào về cách sàn giao dịch đã bị cướp mất một cách thảm hại, chỉ vài giờ sau khi nó rời khỏi tay ông. Câu hỏi về ai thực hiện vụ ăn cắp đó—và liệu những tên trộm đó có phải là nhân viên FTX hay hacker bên ngoài không—là điều quan trọng nhất. Bí ẩn đó vẫn chưa được giải quyết, và cả Bankman-Fried lẫn các nhà quản lý cao cấp khác của FTX đều chưa bị buộc tội về vụ ăn cắp đó.

Nhưng bây giờ, MYTOUR có thể tiết lộ về những sự kiện trong đêm hoảng loạn của FTX làm việc để giới hạn thiệt hại từ vụ ăn cắp đó—và ngăn chặn điều gì có thể đã là một vụ cướp có 10 chữ số. Ban lãnh đạo mới của FTX dưới sự lãnh đạo của Ray, Giám đốc điều hành mới của công ty, từ chối phỏng vấn về sự kiện. Nhưng MYTOUR đã biết được chi tiết từng giờ của phản ứng khẩn cấp từ một hóa đơn chi tiết được nộp bởi công ty tái cơ cấu Alvarez & Marsall cho công việc của họ trong vụ phá sản của FTX, cuộc phỏng vấn với những người tham gia vào phản ứng ngay sau vụ ăn cắp, và phân tích chuỗi khối do công ty theo dõi tiền điện tử Elliptic cung cấp.

Phản ứng đó bắt đầu vào khoảng 10 giờ tối ngày 11 tháng 11, khi Zach Dexter, Giám đốc điều hành của công ty con của FTX, LedgerX, gửi lời mời Google Meet cho một nhóm hơn 20 nhân viên còn lại của FTX, luật sư phá sản, cố vấn và chuyên gia tư vấn. Dòng chủ đề chỉ có một từ: “khẩn cấp.”

Một số nhân viên nhanh chóng tham gia cuộc gọi video Google Meet đó, sau đó sẽ mở rộng thành hàng chục người tham gia trong vòng 12 giờ tiếp theo. Tất cả họ đều có thể thấy ví FTX đang bị rút hết tiền thật trong thời gian thực trên Etherscan. Nhưng hầu hết mọi người trên cuộc gọi không có ý định biết chính xác FTX lưu trữ tiền điện tử ở đâu hoặc cách nó quản lý các khóa bí mật điều khiển những chiếc ví đó. Kiến thức đó chỉ thuộc về một nhóm nhỏ của FTX—Bankman-Fried và đội ngũ nội bộ của ông. Theo những người có mặt, Bankman-Fried không bao giờ xuất hiện trong cuộc họp, nhưng Gary Wang, đồng sáng lập và Giám đốc công nghệ của FTX, đã tham gia cuộc gọi.

Tại thời điểm này, nhiều người nói rằng Wang bị nhiều người tin cậy gần Ray phản bội. Trong lúc FTX đang rơi vào tình trạng khủng hoảng, Wang ban đầu đã đứng về phía Bankman-Fried và chỉ tách xa khỏi người CEO trước đó sau một loạt các thuyết phục từ người khác trong công ty.

Wang không thuyết phục được bất kỳ ai trong cuộc họp khẩn cấp khi anh ta ban đầu đề xuất rằng vụ ăn cắp đang diễn ra có thể được dừng lại bằng cách đơn giản là thay đổi các khóa bí mật bảo vệ những chiếc ví đang bị rút hết tiền. Điều đó có vẻ vô nghĩa, một cựu nhân viên FTX nhớ lại, vì bất kỳ ai đã có quyền truy cập vào mạng có thể đơn giản là lấy khóa mới và tiếp tục vụ cướp của họ. “Con cáo đã vào chuồng gà, và bạn sẽ thay đổi khóa cho chuồng gà?” cựu nhân viên nhớ lại. Wang, người sau đó đã tuyên bố tội nhận về các tội ác tương tự mà Bankman-Fried đang đối mặt, không phản hồi lại yêu cầu ý kiến được gửi đến luật sư của anh ấy

Ngay khi cuộc gọi Google Meet bắt đầu, tuy nhiên, Dexter của LedgerX đã bắt đầu khám phá một cách tiếp cận khác để bảo vệ quỹ của FTX. Trong tuần trước vụ ăn cắp, công ty quản lý tài sản số BitGo đã đang thương lượng với Sullivan & Cromwell, văn phòng luật sư giám sát quá trình phá sản của FTX, để giữ giữ quỹ tiền điện tử còn lại của công ty. Vì vậy, Dexter đã gọi điện thoại đến BitGo để cố gắng né tránh quá trình hợp đồng pháp lý dài hạn mà Sullivan & Cromwell đã bắt đầu với công ty. Thay vào đó, Dexter yêu cầu BitGo ngay lập tức tạo ra các ví “lưu trữ lạnh”—các ví được giữ an toàn ngoại tuyến—that FTX có thể chuyển toàn bộ quỹ còn lại của mình vào như một nơi an toàn. Dexter không phản hồi lại yêu cầu ý kiến.

BitGo nói rằng họ có thể có ví sẵn sàng trong khoảng một nửa giờ. Nhân viên FTX lo lắng rằng điều này vẫn sẽ quá chậm. Đến lúc đó, những kẻ trộm có thể lấy đi hàng trăm triệu đô la nhiều hơn từ ví của công ty.

Một người trong cuộc gọi Google Meet hỏi xem có ai có một ví cứng riêng nơi có thể lưu trữ tiền cho đến khi BitGo sẵn sàng. Kumanan Ramanathan, một cố vấn của FTX từ Alvarez & Marsall gọi từ nhà anh ấy ở ngoại ô New York, tự nguyện. Anh ấy có một Ledger Nano—một chiếc ví cứng USB—in ở văn phòng tại nhà và anh ấy đã đề xuất thiết lập nó như một nơi trú ẩn tạm thời cho số tiền yếu đuối.

Ramanathan thiết lập một ví mới trên Ledger Nano của mình vào khoảng 10:30 tối ngày 11 tháng 11. Cựu nhân viên FTX nhớ lại việc theo dõi anh ta kiểm tra và kiểm tra lại mật khẩu mà anh ta đã tạo cho chiếc ví đó. Wang bắt đầu chuyển quỹ của FTX vào đó, và sớm Ramanathan đã giữ giữa $400 và $500 triệu trong tài sản tiền điện tử của công ty trên một ổ đĩa USB ở nhà anh ta ở Westchester County.

Vài phút sau, BitGo cho biết các ví của họ đã sẵn sàng, và họ bắt đầu chuyển hàng trăm triệu đô la nhiều hơn trong tiền điện tử vào bộ lưu trữ lạnh của BitGo thay vì thiết bị Ledger của Ramanathan. Trong phần còn lại của đêm không ngủ đó, nhân viên FTX săn tìm từng chiếc ví nơi tiền của FTX được lưu trữ và chuyển mỗi đồng hồng nào họ có thể tìm thấy vào BitGo. “Họ đang làm sạch nhiều hệ thống khác nhau để tìm nơi các khóa bí mật riêng lẻ, nơi tài sản được giữ,” nói một người tham gia vào phản ứng, được ẩn danh vì họ không được ủy quyền nói về nó công khai. “Đó chỉ là sự hỗn loạn.”

Trong khi nhân viên FTX tập trung vào việc thuyết phục các nhà quản lý ký duyệt những giao dịch của quỹ có thể bị nguy hiểm, Ramanathan đã giữ lại tiền điện tử mà Wang ban đầu đã chuyển vào ví Ledger của anh ấy. Điều này tạo ra tình huống kỳ lạ khi một cá nhân vật lý đang giữ khoảng nửa tỷ đô la giá trị tiền của FTX, tạo ra những rủi ro pháp lý và an ninh độc đáo của riêng nó. Đêm đó, Ryne Miller, giám đốc pháp lý của FTX, đã vội đến nhà Ramanathan để giúp bảo vệ nó. Ryne Miller từ chối bình luận cho câu chuyện này, và Ramanathan không phản hồi lại yêu cầu ý kiến.

Vào lúc 10:59 tối, Ramanathan gọi điện thoại cho cảnh sát để báo cáo một vụ trộm đang diễn ra và giải thích rằng anh ấy đang giữ một lượng tiền lớn của nạn nhân, yêu cầu cảnh sát đến nhà anh ấy để giúp bảo vệ nó. Sau tất cả, vào lúc đó—hoặc ngay bây giờ—không ai biết ai đã đánh cắp những quỹ khác, và liệu họ có thể cố gắng lấy đi cái bọc tiền mà Ramanathan đang giữ không. Một bản báo cáo của Sở Cảnh sát New Rochelle thu được bởi MYTOUR cho thấy Ramanathan nói với điều phối viên 911 rằng “hiện đang có một đợt tấn công tiền điện tử lớn đang diễn ra và có một lượng tiền lớn đang được gửi đến địa chỉ này” và anh ấy “lo sợ rằng ngôi nhà sẽ trở thành mục tiêu.”

Ngay cả sau khi cảnh sát đến, Miller, giám đốc pháp lý của FTX, vẫn ở lại nhà suốt hầu hết đêm. Bản ghi giờ làm việc có tính phí của Ramanathan cho thấy anh ấy và Miller đã dành gần ba giờ và nửa trong nhà anh ấy, từ khoảng 2 giờ sáng đến 5 giờ sáng ngày 12 tháng 11.

Không có đe dọa vật lý đối với Ramanathan hoặc nhà của anh ấy xuất hiện. Trên thực tế, việc hút tiền từ FTX đã dừng lại khi tiền được chuyển đến ví Ledger của Ramanathan. “Anh ấy đã đưa ra một rủi ro lớn sử dụng ví Ledger cá nhân của mình,” nói một cựu nhân viên FTX. “Anh ấy là một boss hoàn toàn. Đó là cảm nhận mạnh mẽ của tôi là nếu chúng tôi không thực hiện màn kịch Ledger này, chúng tôi có thể đã mất nhiều tiền hơn nhiều.” Số tiền trong văn phòng tại nhà của Ramanathan cuối cùng đã được chuyển đến BitGo vào khoảng 5 giờ sáng thứ Bảy, ngày 12 tháng 11. Công ty cuối cùng sẽ giữ $1.1 tỷ từ quỹ FTX còn lại.

Vào cuối tuần thứ Bảy, Bankman-Fried và Wang chuyển thêm hơn $400 triệu vào các tài khoản dưới sự kiểm soát của chính phủ Bahamas để bảo vệ, như báo cáo bởi Forbes và được ghi lại trong một tài liệu tòa án. Đôi khi, việc chuyển tiền đến Bahamas có vẻ đã bị nhầm lẫn với vụ ăn cắp chính. Một tuần sau vụ ăn cắp, một số phương tiện truyền thông đã báo cáo sai rằng các quỹ bị đánh cắp thực sự đã bị chính phủ Bahamas tịch thu. Làm chứng cho điều ngược lại, các công ty theo dõi tiền điện tử như Elliptic và Chainalysis đã quan sát các phần của quỹ bị đánh cắp thực tế được gửi đến các dịch vụ “trộn” thường được sử dụng để rửa tiền tiền điện tử bị đánh cắp như Railgun và dịch vụ trao đổi đồng tiền qua nhiều blockchain THORChain, hành vi điển hình của những kẻ trộm thực hiện vụ cướp tiền điện tử quy mô lớn.

Trong những tháng kể từ nỗ lực cứu nguy tuyệt vọng của ngày 11 tháng 11, chế độ mới của FTX, đang xử lý quá trình phá sản của công ty, đã công khai cáo buộc những thiếu sót an ninh rõ ràng đã làm cho vụ ăn cắp trở nên khả dĩ.

Một báo cáo tháng 4 được công bố như là một phần của quy trình phá sản của FTX liệt kê các ví dụ về sự coi thường được cho là đó là: Chế độ FTX trước đây không có quản trị an toàn thông tin độc lập hoặc đội ngũ an ninh cụ thể; nó giữ hầu hết tất cả tiền điện tử của mình trong các ví nóng—các ví trên máy tính kết nối với internet—mặc dù nhân viên được hướng dẫn công khai rằng nó lưu trữ ít nhất là 10% trong ví nóng; nó để chìa khóa của những chiếc ví đó không được mã hóa hoặc không thiết lập đúng hệ thống an ninh nơi cần nhiều chìa khóa để mở khóa quỹ; và nó thiếu các hệ thống đăng nhập để biết ai đang di chuyển quỹ và khi nào, cùng với nhiều vấn đề khác.

Báo cáo cũng mô tả tình huống khó khăn mà chế độ mới của FTX đã phải đối mặt vào ngày 11 tháng 11, khi, trong ngày đầu tiên tiếp quản, nó phát hiện ra mình đã thừa hưởng một mạng lưới đã bị đe dọa sâu sắc. “Do kiểm soát yếu kém của Nhóm FTX để bảo vệ tài sản tiền điện tử, Các Nợ đối mặt với nguy cơ rằng hàng tỷ đô la tài sản có thể bị mất bất cứ lúc nào,” báo cáo nói, sử dụng thuật ngữ “Các Nợ” để mô tả chính quyền mới của FTX do Ray dẫn đầu. “Khi Các Nợ làm việc để xác định và tiếp cận tài sản tiền điện tử mà không có ‘bản đồ’ để hướng dẫn họ, Các Nợ đã phải thiết kế các con đường công nghệ để chuyển đổi nhiều loại tài sản họ xác định vào lưu trữ lạnh.

Với bảo mật và sự tổ chức có vẻ hỗn loạn đó, có lẽ không ngạc nhiên khi FTX trở thành mục tiêu của một trong những vụ cướp tiền điện tử đắt đỏ nhất trong lịch sử. Nhưng nếu không có một vài quyết định nhanh chóng giữa cảnh hỗn loạn đó, bây giờ có vẻ như nó đã có thể tồi tệ hơn nhiều.

“Đó là một đêm rất, rất điên rồ,” cựu nhân viên FTX nói. “Chúng tôi đã làm việc trên đó, chúng tôi đã hoàn thành, và chúng tôi đã cứu được một lượng lớn tiền của khách hàng.”

Cập nhật lúc 10:35 sáng giờ đông âu, ngày 10 tháng 10, 2023, để làm rõ chức năng của THORChain.

Cập nhật lúc 3:50 chiều giờ đông âu, ngày 10 tháng 10, 2023, để thêm thông tin từ một báo cáo của Sở Cảnh sát New Rochelle mô tả cuộc gọi 911 của Ramanathan. Chúng tôi cũng làm rõ rằng Ramanathan và Miller đang ở nhà của Ramanathan khi cuộc gọi 911 diễn ra và trong khi họ đợi chuyển giao đến BitGo.