Am 12. November 2022, innerhalb von Stunden nach FTXs Chapter-11-Insolvenzantrag in den USA, wurden 477 Millionen $ an Krypto aus den Wallets der Börse in einem koordinierten Angriff abgezogen. Die Episode geschah während der chaotischsten 24 Stunden der modernen Krypto-Geschichte; das DOJ bestätigte später, die Ursache sei ein SIM-Swap-Angriff gewesen, und klagte drei damit verbundene Personen an.
Was geschah
FTXs Kollaps war die größere Geschichte — Sam Bankman-Frieds Börse war über die vorangegangene Woche implodiert, als die Lücke zwischen Kundeneinlagen und Alameda Researchs Positionen öffentlich wurde. Am Morgen des 11. November 2022 beantragte FTX Insolvenz. Innerhalb von Stunden begannen Wallets über mehrere Chains zu bluten — in Transaktionen, die keinerlei Ähnlichkeit mit den laufenden Operationen der Insolvenzmasse hatten.
Elliptic, Chainalysis und On-Chain-Ermittler verfolgten rund 663 Mio. $ an Outflows im unmittelbaren Post-Filing-Fenster. FTXs Insolvenzteam identifizierte etwa 186 Mio. $ davon als interne Transfers in Cold Storage während des Chaos. Die verbleibenden rund 477 Mio. $ waren unautorisierter Diebstahl.
Das Verhalten des Angreifers war lehrbuchhaft für Funds-in-Flight:
- Schnelles Tauschen von Stablecoins und anderen Tokens in ETH und DAI auf dezentralen Börsen, um Token-Issuer-Freezes zu verhindern.
- Cross-Chain-Bridging zur Verschleierung von Spuren.
- Sinbad und Tornado Cash für die finalen Geldwäsche-Etappen.
Das DOJ enthüllte später, dass der Breach eine SIM-Swap-Operation war: Die Angreifer hatten Kontrolle über die Telefonnummer eines FTX-Mitarbeiters übernommen, die von ihr kontrollierten SMS-/MFA-Reset-Pfade genutzt, um administrativen Zugang zu FTXs internen Wallet-Signing-Systemen zu erlangen, und diesen Zugang verwendet, um unautorisierte Abhebungen zu autorisieren, bevor die Insolvenzmasse alles sperren konnte. Drei Personen wurden in Verbindung mit dem SIM-Swapping-Ring angeklagt.
Folgen
- FTXs Insolvenzmasse holte schließlich einen relevanten Prozentsatz der gestohlenen Gelder durch forensisches Tracing und börsenkoordinierte Freezes zurück — der Großteil der Geldwäsche-Pfade endete aber bei Tornado Cash und konnte nicht rückgängig gemacht werden.
- Die Insolvenz selbst lief jahrelang; Gläubiger erhielten schließlich Bar-Auszahlungen zu 100 %+ ihrer Dollar-denominierten Forderungen (eine Folge der Krypto-Preissteigerung zwischen Antrag und Auszahlung, bezahlt in Zeit).
- Sam Bankman-Fried wurde 2023 wegen separater Betrugsanklagen verurteilt und 2024 zu 25 Jahren verurteilt.
Warum es wichtig ist
Der FTX-Hack ist eine Studie darüber, wie sauber Angreifer operatives Chaos ausnutzen können. SIM-Swap als Vektor war seit Jahren dokumentiert; verheerend wurde es hier durch das Timing — genau in dem Moment, als normale Change-Control-, Anomalie-Erkennungs- und Incident-Response-Systeme bei FTX zusammenbrachen, ging der Angreifer durch einen bekannten Riss hinein und mit 477 Mio. $ wieder hinaus.
Die Lektion verallgemeinert sich: Die Sicherheit einer Börse ist nicht, wie ihre Kontrollen im stabilen Zustand aussehen; sie ist, wie sie an einem Worst-Day-of-the-Year-Vorfall aussehen. Cold-Storage-Migrations-Playbooks müssen davon ausgehen, dass die operative Umgebung in Flammen steht, wenn sie ausgeführt werden. Die Industrie-Antwort nach FTX — Bankruptcy-Mode-Wallet-Lockdown-Verfahren, Out-of-Band-Authentifizierung für Notfall-Transfers, SIM-Swap-resistente Authentifizierungspfade für privilegierte Operationen — wurde direkt durch die Ereignisse vom November 2022 angetrieben.
Quellen & On-Chain-Belege
- [01]cnbc.comhttps://www.cnbc.com/2022/11/12/ftx-says-its-removing-trading-and-withdrawals-moving-digital-assets-to-a-cold-wallet-after-a-477-million-suspected-hack.html
- [02]elliptic.cohttps://www.elliptic.co/blog/analysis/477-million-in-unauthorized-transfers-from-ftx
- [03]coindesk.comhttps://www.coindesk.com/business/2022/11/12/ftx-crypto-wallets-see-mysterious-late-night-outflows-totalling-more-than-380m