Cómo los ladrones de FTX han intentado blanquear su botín de $400 millones
La lucha de los estafadores de FTX por encubrir su botín de $400 millones
A medida que se desarrolla el juicio criminal contra el fundador de FTX, Sam Bankman-Fried, en una sala de Manhattan, algunos observadores en el mundo de las criptomonedas están siguiendo un delito relacionado con FTX que aún está en progreso: Los ladrones todavía no identificados que robaron más de $400 millones de FTX el mismo día que la empresa declaró bancarrota, han estado ocupados moviendo esos fondos a través de blockchains en un aparente intento de cobrar su botín mientras cubren sus huellas. Los rastreadores de blockchains todavía esperan que el rastro del dinero ayude a identificar a los culpables del robo y responder a la pregunta inminente de si alguien con conocimiento interno de FTX estuvo involucrado.
Hoy, la empresa de rastreo de criptomonedas Elliptic publicó un nuevo informe sobre el complejo camino que han seguido esos fondos robados en los últimos 11 meses desde que fueron retirados de FTX el 11 de noviembre del año pasado. La investigación de Elliptic muestra cómo esa suma de nueve dígitos, que FTX estima entre $415 millones y $432 millones, se ha movido desde entonces a través de una larga lista de servicios criptográficos mientras los ladrones intentan prepararla para el lavado y la liquidación, incluso a través de un servicio propiedad de FTX. Pero esos cientos de millones también estuvieron inactivos durante todo el año 2023, solo para comenzar a moverse nuevamente este mes, en algunos casos mientras Bankman-Fried mismo estaba en el tribunal, planteando nuevas y sin respuesta preguntas sobre las identidades y planes de los ladrones.
“Los fondos básicamente no se movieron durante nueve meses, y luego un par de días antes de que comience el juicio, vuelven a moverse”, dice Tom Robison, cofundador y científico jefe de Elliptic. “¿Por qué tuvieron que mover los fondos ahora? No tiene mucho sentido comenzar a lavar los fondos en un momento en que hay tanta atención sobre la víctima del hackeo”.
- Mantén la calma con $ 40 de descuento en un termostato Google Nest ...
- ¿Se convertirá la IA en el aliado definitivo del abogado? Una mirad...
- Organización fundada por Adobe introduce sistema para recuperar la ...
Además de ese tiempo extraño, Elliptic dice que los ladrones de FTX han tomado en su mayoría medidas típicas de los perpetradores de robos de criptomonedas a gran escala, mientras los culpables intentaban asegurar los fondos, cambiarlos por monedas más fáciles de lavar y luego canalizarlos a través de servicios de “mezcla” de criptomonedas para lograr eso. La mayoría de los fondos robados, según Elliptic, eran stablecoins que, a diferencia de otras formas de criptomonedas, pueden ser congeladas por su emisor en caso de robo. De hecho, el emisor de stablecoins Tether se apresuró a congelar $31 millones del dinero robado en respuesta al robo de FTX. Así que los ladrones comenzaron de inmediato a intercambiar el resto de esas stablecoins por otros tokens criptográficos en intercambios descentralizados como Uniswap y PancakeSwap, que no tienen los requisitos de “conoce a tu cliente” que tienen los intercambios centralizados, en parte porque no permiten intercambios por moneda fiduciaria.
En los días siguientes, según Elliptic, los ladrones iniciaron un proceso de varios pasos para convertir los tokens que habían intercambiado por las stablecoins en criptomonedas que serían más fáciles de lavar. Utilizaron servicios de “puente entre blockchains” que permiten intercambiar criptomonedas de una blockchain a otra, negociando sus tokens en los puentes Multichain y Wormhole para convertirlos en Ethereum. Para el tercer día después del robo, los ladrones tenían una cuenta de Ethereum única valorada en $306 millones, una suma que había disminuido unos $100 millones desde su total inicial debido a la incautación de Tether y al costo de sus transacciones.
A partir de ahí, los ladrones parecen haberse centrado en intercambiar su Ethereum por Bitcoin, que a menudo es más fácil de alimentar en servicios de “mezcla” que ofrecen combinar los bitcoins de un usuario con los de otros usuarios para evitar el rastreo basado en blockchain. El 20 de noviembre, nueve días después del robo, intercambiaron aproximadamente una cuarta parte de sus tenencias de Ethereum por Bitcoin en un servicio de puente llamado RenBridge, que irónicamente, era propiedad de FTX. “Sí, en realidad es bastante sorprendente que las ganancias de un hackeo básicamente estuvieran siendo lavadas a través de un servicio propiedad de la víctima del hackeo”, dice Robison de Elliptic.
El 12 de diciembre, un mes después del robo, la mayoría de los bitcoins de ese intercambio en RenBridge fueron alimentados al servicio de mezcla llamado ChipMixer. En ese punto, los ladrones se volvieron extrañamente silenciosos. El resto de su Ethereum permanecería inactivo durante los siguientes nueve meses.
Solo el 30 de septiembre, días antes del juicio de Bankman-Fried, comenzaron a moverse nuevamente los restantes fondos, según Elliptic. Para entonces, tanto RenBridge como ChipMixer habían sido cerrados: RenBridge debido al colapso de su empresa matriz, FTX, y ChipMixer debido a una incautación por parte de las autoridades. Entonces, los ladrones cambiaron de rumbo y comenzaron a intercambiar su Ethereum por Bitcoin en un servicio llamado THORSwap y luego rutearon esos bitcoins a un servicio de mezcla llamado Sinbad.
Sinbad se ha convertido en el último año en un destino popular para el crimen de criptomonedas, especialmente cripto robadas por hackers norcoreanos. Pero Robison de Elliptic señala que a pesar de esto, el movimiento de fondos parece menos sofisticado que lo que ha visto en un típico robo norcoreano. “No utiliza algunos de los servicios que típicamente utiliza Lazarus”, dice Robison, refiriéndose al amplio grupo de hackers norcoreanos patrocinados por el estado conocidos como Lazarus. “Así que no parece ser obra de ellos”.
¿La sincronización de esos nuevos movimientos de fondos antes, e incluso durante, el juicio de Bankman-Fried sugiere que alguien con conocimiento interno es responsable? Robison de Elliptic señala que si bien la sincronización es llamativa, sólo puede especular en este momento. Es posible que la sincronización haya sido puramente coincidencial, dice Robison. O puede que alguien esté moviendo el dinero ahora para que parezca que es un trabajador de FTX desde adentro, potencialmente alguien que teme perder el acceso a Internet. Ni Bankman-Fried ni sus colegas ejecutivos han sido acusados del robo, y algunos de los movimientos de dinero han tenido lugar mientras Bankman-Fried ha estado en el tribunal, solo con una computadora portátil desconectada de Internet.
Eventualmente, sin duda, los ladrones intentarán convertir su criptomoneda robada y lavada en alguna forma de moneda fiduciaria. Robison todavía tiene esperanzas de que, a pesar de su uso de mezcladores, aún puedan ser identificados en ese punto, aunque se negó a responder definitivamente si Elliptic puede derrotar las medidas de anonimato de esos servicios de mezcla. “Creo que probablemente tendrán éxito en convertir al menos parte de estos fondos en efectivo. Creo que si conseguirán salirse con la suya es una pregunta separada”, dice Robison. “Ya hay un rastro de blockchain que se puede seguir, y creo que ese rastro solo se volverá más claro con el tiempo”.
Dos otras firmas de rastreo de criptomonedas, TRM Labs y Chainalysis, han sido contratadas por el nuevo régimen de FTX bajo el CEO John Ray III para ayudar en la investigación. TRM Labs se negó a hacer comentarios sobre el caso. Chainalysis no respondió a la solicitud de comentario de ENBLE, al igual que FTX mismo.
Si esos rastreadores de criptomonedas tienen éxito, es posible que algún día tengamos una respuesta al misterio del robo en FTX. Mientras tanto, sin embargo, los numerosos acreedores agraviados de FTX deberán estar atentos al juicio de Bankman-Fried y al blockchain de Bitcoin.
