Drenaje en la quiebra de FTX

El 12 de noviembre de 2022, a las pocas horas de que FTX solicitara la quiebra del Chapter 11 en Estados Unidos, se drenaron 477 millones de dólares en cripto de las wallets del exchange en un ataque coordinado. El episodio ocurrió durante las 24 horas más caóticas de la historia moderna del cripto; el DOJ confirmó más tarde que la causa fue un ataque de SIM-swap e imputó a tres individuos relacionados.

Qué ocurrió

El colapso de FTX era la historia mayor: el exchange de Sam Bankman-Fried había implosionado durante la semana anterior conforme se hizo público el desfase entre los depósitos de los clientes y las posiciones de Alameda Research. La mañana del 11 de noviembre de 2022, FTX se declaró en quiebra. En cuestión de horas, wallets en varias cadenas comenzaron a sangrar en transacciones que no se parecían en nada a las operaciones en curso de la masa concursal.

Elliptic, Chainalysis e investigadores on-chain rastrearon aproximadamente 663 M$ en salidas en la ventana inmediatamente posterior a la solicitud. El equipo de quiebra de FTX identificó aproximadamente 186 M$ de eso como transferencias internas a almacenamiento en frío durante el caos. Los ~477 M$ restantes fueron robo no autorizado.

El comportamiento del atacante fue de manual para fondos en tránsito:

• Cambio rápido de stablecoins y otros tokens a ETH y DAI en exchanges descentralizados, para prevenir congelaciones por parte de los emisores de tokens.
• Bridging cross-chain para oscurecer rastros.
• Sinbad y Tornado Cash para las últimas etapas de lavado.

El DOJ reveló posteriormente que la brecha fue una operación de SIM-swap: los atacantes habían tomado control del número de teléfono de un empleado de FTX, usado las rutas de reset por SMS/MFA que controlaba para obtener acceso administrativo a los sistemas internos de firma de wallets de FTX, y usado ese acceso para autorizar retiros no autorizados antes de que la masa concursal hubiera bloqueado todo. Tres individuos fueron imputados en relación con el grupo de SIM-swapping.

Consecuencias

• La masa concursal de FTX recuperó en última instancia un porcentaje significativo de los fondos robados mediante rastreo forense y congelaciones coordinadas en exchanges, aunque la mayor parte de las rutas de lavado terminó en Tornado Cash y no pudo revertirse.
• La quiebra en sí avanzó durante años, con los acreedores recibiendo eventualmente distribuciones en efectivo al 100%+ de las reclamaciones denominadas en dólares (consecuencia de la apreciación del precio del cripto entre la solicitud y la distribución, pagada en tiempo).
• Sam Bankman-Fried fue juzgado y condenado por cargos de fraude separados en 2023 y sentenciado a 25 años en 2024.

Por qué importa

El hackeo de FTX es un estudio de cuán limpiamente los atacantes pueden explotar el caos operativo. El SIM-swap como vector llevaba años documentado; lo que lo hizo devastador aquí fue el momento: justo cuando los sistemas normales de control de cambios, detección de anomalías y respuesta a incidentes en FTX estaban colapsando, el atacante entró por una grieta conocida y salió con 477 M$.

La lección generaliza: la seguridad de un exchange no es lo que parecen sus controles en estado estable; es lo que parecen durante un incidente del peor día del año. Los manuales de migración a almacenamiento en frío deben asumir que el entorno operativo está en llamas cuando se ejecutan. La respuesta post-FTX de la industria —procedimientos de bloqueo de wallets en modo quiebra, autenticación fuera de banda para transferencias de emergencia, rutas de autenticación resistentes a SIM-swap para operaciones privilegiadas— fue impulsada directamente por los eventos de noviembre de 2022.