Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 113Phishing / Ingénierie sociale

Drainage de FTX en faillite

Une opération SIM-swap a drainé 477 M$ des wallets FTX dans les heures suivant le Chapter 11, exploitant le chaos du plus grand effondrement crypto.

Date
Victime
FTX
Chaîne(s)
EthereumSolana
Statut
Fonds dérobés

Le 12 novembre 2022, dans les heures suivant le dépôt de bilan Chapter 11 de FTX aux États-Unis, 477 millions de dollars en crypto ont été drainés des wallets de l'exchange dans une attaque coordonnée. L'épisode s'est produit pendant les 24 heures les plus chaotiques de l'histoire moderne de la crypto ; le DOJ a plus tard confirmé que la cause était une attaque par SIM-swap et a inculpé trois individus liés à l'opération.

Ce qui s'est passé

L'effondrement de FTX était l'histoire plus large — l'exchange de Sam Bankman-Fried avait imploré au cours de la semaine précédente à mesure que le fossé entre les dépôts clients et les positions d'Alameda Research devenait public. Le matin du 11 novembre 2022, FTX a déposé le bilan. En quelques heures, des wallets sur plusieurs chaînes ont commencé à saigner dans des transactions qui n'avaient aucune ressemblance avec les opérations en cours de la masse de faillite.

Elliptic, Chainalysis et les investigateurs on-chain ont suivi environ 663 M$ de sorties dans la fenêtre immédiatement post-dépôt. L'équipe de faillite de FTX a identifié environ 186 M$ de cela comme transferts internes vers cold storage pendant le chaos. Les ~477 M$ restants étaient un vol non autorisé.

Le comportement de l'attaquant était classique pour des fonds en mouvement :

  • Swap rapide des stablecoins et autres tokens en ETH et DAI sur des exchanges décentralisés, pour empêcher les gels d'émetteurs de tokens.
  • Bridging cross-chain pour obscurcir les pistes.
  • Routage Sinbad et Tornado Cash pour les dernières étapes de blanchiment.

Le DOJ a ensuite révélé que la brèche était une opération de SIM-swap : les attaquants avaient pris le contrôle du numéro de téléphone d'un employé de FTX, utilisé les chemins de reset SMS/MFA qu'il contrôlait pour obtenir l'accès administratif aux systèmes internes de signature de wallets de FTX, et utilisé cet accès pour autoriser des retraits non autorisés avant que la masse de faillite n'ait tout verrouillé. Trois individus ont été inculpés en lien avec le groupe de SIM-swapping.

Conséquences

  • La masse de faillite de FTX a finalement récupéré un pourcentage significatif des fonds volés via le traçage forensique et les gels coordonnés avec les exchanges — même si l'essentiel des chemins de blanchiment se terminait chez Tornado Cash et ne pouvait pas être inversé.
  • La faillite elle-même s'est poursuivie pendant des années, les créanciers recevant finalement des distributions en espèces à 100 %+ des créances libellées en dollars (conséquence de l'appréciation du prix crypto entre dépôt et distribution, payée en temps).
  • Sam Bankman-Fried a été jugé et condamné pour des charges de fraude distinctes en 2023 et condamné à 25 ans en 2024.

Pourquoi c'est important

Le hack FTX est une étude sur la précision avec laquelle les attaquants peuvent exploiter le chaos opérationnel. Le SIM-swap comme vecteur était documenté depuis des années ; ce qui l'a rendu dévastateur ici, c'était le timing — au moment exact où les systèmes normaux de change-control, de détection d'anomalies et de réponse à incident chez FTX s'effondraient, l'attaquant est entré par une fissure connue et est ressorti avec 477 M$.

La leçon se généralise : la sécurité d'un exchange n'est pas à quoi ressemblent ses contrôles en régime permanent ; c'est à quoi ils ressemblent pendant un incident du pire jour de l'année. Les playbooks de migration cold-storage doivent supposer que l'environnement opérationnel est en feu lorsqu'ils s'exécutent. La réponse de l'industrie post-FTX — procédures de verrouillage de wallet en mode faillite, authentification hors bande pour les transferts d'urgence, chemins d'authentification résistants au SIM-swap pour les opérations privilégiées — a été directement guidée par les événements de novembre 2022.

Sources & preuves on-chain

  1. [01]cnbc.comhttps://www.cnbc.com/2022/11/12/ftx-says-its-removing-trading-and-withdrawals-moving-digital-assets-to-a-cold-wallet-after-a-477-million-suspected-hack.html
  2. [02]elliptic.cohttps://www.elliptic.co/blog/analysis/477-million-in-unauthorized-transfers-from-ftx
  3. [03]coindesk.comhttps://www.coindesk.com/business/2022/11/12/ftx-crypto-wallets-see-mysterious-late-night-outflows-totalling-more-than-380m

Dépôts liés