WIRED: FTX破産当日の「奇妙なハッカー事件」を調査

原文タイトル：FTXの1億ドルの暗号盗難を阻止するための一晩のレースの内幕

原文著者：Wired

原文翻訳：吴说区块链

昨年11月11日の夕方、FTXの従業員は同社の短い歴史の中で最悪の日を経験していた。わずか10ヶ月前、この会社は世界のトップ暗号通貨取引所の一つとなり、破産を発表した。長い努力の末、経営陣は同社のCEOサム・バンクマン-フリードに権力をジョン・レイ3世に譲渡させることに成功した。この新しいCEOの任務は、悪夢のような債務の困難から会社を導くことであり、会社はその債務を返済する手段を持っていないようだった。

FTXは底に落ちたように見えた。ところが、ある人物——身元がまだ特定されていない泥棒——がその特定の瞬間を選び、事態をさらに悪化させた。その金曜日の夕方、疲れ切ったFTXの従業員はEtherscan上で会社の暗号通貨の神秘的な流出を目撃し、数億ドルの暗号通貨がリアルタイムで盗まれていた。

「まさか、こんなことがあった後に、まだハッキングされるなんて？」と、匿名を希望する前FTX従業員は回想した。彼は会社の内部事情について話す権限がなかったため、名前を明かさなかった。

FTX自身の記録によれば、同社は未知の泥棒によって4.15億ドルから4.32億ドルの暗号資産を失うことになる。この数字は破産手続きの一部として公に確認された。FTXが以前に明らかにしていなかったのは、どれほど多くの損失を被る可能性があったかということだ——従業員と外部の顧問は、悪意のある存在から盗まれないように、10億ドル以上の暗号通貨を急いでより安全な保管場所に移していた。さらには、ある顧問のオフィスに物理的なUSBドライブを使って、5億ドル近くを送信することさえあった。

「招待：緊急」

FTXの不名誉な創業者サム・バンクマン-フリードの裁判が2週目に入る中、暗号通貨コミュニティの多くの人々は、取引所が彼の管理を離れた数時間後にどのようにしてこれほど壊滅的に襲撃されたのかについての手がかりを得るために法廷の出来事を注視していた。誰がその盗難を行ったのか——泥棒はFTXの内部者なのか外部のハッカーなのか——この問いが最も重要である。この謎は未解決のままであり、バンクマン-フリードや他のFTXの上級幹部はその盗難に関して起訴されていない。

しかし今、WIREDはFTXがその恐怖の夜に盗難による損害を制限しようとした努力の出来事を明らかにすることができる——そして、10桁の価値があるかもしれない盗難を防ぐために。新しいFTXのリーダーシップチームは新CEOレイの指導の下、この事件に関するインタビューを拒否した。しかし、WIREDは再編成された会社アルバレス＆マルサルが提出したFTX破産事件に関する詳細な請求書、盗難に即座に反応した個人へのインタビュー、暗号通貨追跡会社エリプティックが提供したブロックチェーン分析から危機対応の逐時の詳細を知ることができた。

この対応は11月11日の午後10時頃に始まった。FTXの子会社LedgerXのCEOザック・デクスターは、FTXの残りの20人以上の従業員、破産弁護士、顧問、コンサルタントにGoogle Meetの招待を送った。招待の件名は「緊急」であった。

数名の従業員がすぐにそのGoogle Meetのビデオ通話に参加し、その通話は次の12時間の間に数十名の参加者が集まることになる。彼らは皆、Etherscan上でFTXのウォレットが空にされていく様子をリアルタイムで見ていた。しかし、FTXがその暗号通貨をどこに保管しているのか、またそのウォレットの鍵をどのように管理しているのかを知っている者はほとんどいなかった。この情報は、FTXのエリートの小さなグループ——バンクマン-フリードとその核心のサークル——だけが把握していた。出席者によれば、バンクマン-フリードは会議に現れなかったが、FTXの共同創業者兼CTOゲイリー・ワンが通話に参加した。

関係者によると、この時点でワンはレイに近づく多くの人々からの信頼を失っていた。FTXの崩壊の過程で、ワンは最初はバンクマン-フリードの側に立っていたが、会社内部の他の人々の数日間の説得の後に前CEOとの距離を置くことになった。

ワンは緊急会議で、空にされつつあるウォレットの鍵を単純に変更することで進行中の盗難を阻止できると最初に提案したが、これは彼の批評家の支持を得ることはなかった。前FTX従業員は、誰がネットワークにアクセスできるかにかかわらず、新しい鍵を簡単に取得して盗難を続けることができるため、そうすることは無意味だと感じたと回想している。「もうすでに狐が鶏小屋に入っているのに、鶏小屋の鍵を変えようとしているのか？」と前従業員は当時の思いを語った。ワンは後にバンクマン-フリードが現在直面しているのと同じ刑事告発に有罪を認め、彼に送られた弁護士へのコメント要求には応じなかった。

しかし、Google Meetの通話が始まると同時に、LedgerXのデクスターはFTXの資金を保護するための別の方法を模索し始めていた。盗難が発生する前の週、デジタル資産信託会社BitGoはFTXの破産手続きを監督する法律事務所サリバン＆クロムウェルと交渉して、同社の残りの暗号資産を引き継ぐことを検討していた。したがって、デクスターは今、BitGoに電話をかけ、サリバン＆クロムウェルとの長い法的契約プロセスを回避しようとしていた。代わりに、デクスターはBitGoに「コールドストレージ」ウォレットを即座に作成するように依頼した——これらのウォレットはオフライン環境で安全に保管され、FTXは残りの資金を安全な避難所としてこれらのウォレットに移すことができる。デクスターはコメント要求には応じなかった。

BitGoは約30分後にこれらのウォレットが準備できると伝えた。FTXの従業員は、これがまだ遅すぎるのではないかと心配していた。その時点で、泥棒は会社のウォレットからさらに数億ドルの暗号通貨を持ち去る可能性があった。

Google Meetの通話中に、誰かが自分のハードウェアウォレットを持っているか、BitGoが準備できる前にお金をそこに保管できるかを尋ねた。ニューヨーク郊外の自宅から通話に参加していたアルバレス＆マルサルのFTX顧問クマナン・ラマナサンが助けを申し出た。彼は自宅のオフィスにLedger Nano——USBハードウェアウォレット——を持っており、それを脆弱な資金の一時的な避難所として設定することを提案した。

11月11日美東時間午後10時30分頃、ラマナサンは彼のLedger Nanoに新しいウォレットを設定した。前FTX従業員は、彼がそのウォレットのために作成したパスワードを確認し、再確認するのを見たと記憶している。ワンはFTXの資金をこのウォレットに送信し始め、すぐにラマナサンは彼のウェストチェスター郡の自宅にあるUSBドライブに会社の価値4億から5億ドルの暗号資産を保有することになった。

深夜の911電話

数分後、BitGoはFTXの従業員にそのウォレットが準備できたと伝え、彼らはラマナサンのLedgerデバイスではなく、BitGoのコールドストレージにさらに数億ドルの暗号通貨を移転し始めた。その不眠の夜の残りの時間、従業員たちはFTXの資金保管のすべてのウォレットを探し、見つけたすべてのコインをBitGoに移転した。「彼らはさまざまなシステムを整理し、さまざまな秘密鍵がどこにあるのか、資産がどこに保管されているのかを探していた」と、対応に関与した別の未承認の発言者は言った。「混乱の極みだった。」

FTXの従業員が経営陣にこれらの潜在的に脆弱な資金の移転を承認するように集中している間、ラマナサンはワンが最初に彼のLedgerウォレットに移転した暗号通貨を保持することになった。これにより、個人が実際にFTXの会社の価値約5億ドルの資金を所有するという奇妙な状況が生まれ、これ自体が独自の法的および安全リスクをもたらした。その夜、FTXの総法務顧問ライアン・ミラーはラマナサンの自宅に急いで駆けつけ、それを保管する手助けをした。ライアン・ミラーはこの話にコメントを拒否し、ラマナサンもコメント要求には応じなかった。

美東時間午後10時59分、ラマナサンは警察に電話をかけ、進行中の盗難を報告し、被害者の大量の資金を保持していることを説明し、警察に自宅に来てそれを保護する手助けを求めた。結局、その時点では誰も（また今でも）他の資金を盗んだのが誰なのか、また彼らがラマナサンが保持している備蓄に物理的に接触しようとする可能性があるのかを知らなかった。WIREDが入手したニューロシェル警察署からの警察報告書によれば、ラマナサンは911のオペレーターに「現在、大規模な暗号通貨の襲撃が発生しており、大量のお金がこのアドレスに送信されている」と伝え、「この家がターゲットになるのではないかと心配している」と述べた。

警察が到着した後も、FTXの総法務顧問ミラーはラマナサンの家に大部分の夜を過ごしていた。ラマナサンのタイムシートによると、彼とミラーは11月12日の午前2時頃から午前5時まで、彼の家で約3時間半過ごした。

ラマナサンや彼の家は実質的な脅威を受けていなかった。実際、資金がラマナサンのLedgerウォレットに移転された時点で、FTXの資金の盗難はすでに停止していた。「彼は個人のLedgerを使って大きなリスクを冒した」と前FTX従業員は言った。「彼は素晴らしかった。もし私たちがこのLedgerの手続きを行わなかったら、もっと多くのお金を失っていたと強く感じている。」最終的に、11月12日土曜日の午前5時頃、ラマナサンの自宅のオフィスの資金はBitGoに移転された。同社は最終的に残りのFTX資金11億ドルを保持することになる。

土曜日の遅い時間、バンクマン-フリードとワンはさらに4億ドル以上の資金をバハマ政府が管理する口座に移転し、これはフォーブスによって報じられ、法廷文書にも記録された。しばらくの間、資金をバハマに移転する行為は、盗難そのものと誤解されることがあった。盗難が発生してから1週間後、一部のメディアは誤って盗まれた資金が実際にバハマ政府に押収されたと報じた。反証として、エリプティックやチェイナリシスなどの暗号通貨追跡会社は、実際に盗まれた資金の一部が、マネーロンダリングに一般的に使用される「ミキシング」サービス（Railgunやクロスチェーンのコイン交換サービスTHORChainなど）に送信されているのを観察しており、これは大規模な暗号通貨盗難を実行する泥棒の典型的な行動である。

防護なし、ロードマップなし

11月11日の絶望的な救助活動以来、FTX破産手続きを担当する新しいチームは、盗難を可能にした重大なセキュリティ欠陥を公に非難している。

FTX破産手続きの一部として発表された4月の報告書は、このいわゆる怠慢の例を挙げている：以前のFTXチームには独立したCISOや実際の専門のセキュリティチームが存在しなかった；従業員は公に最大10％の暗号通貨がホットウォレット（インターネットに接続されたコンピュータ上のウォレット）に保管されていると主張するよう指示されていたが、実際にはほぼすべての暗号通貨がホットウォレットに保管されていた；暗号資産を保護するための有効な管理が欠如していた；資金を移転する際に誰がいつ行ったのかを知るためのログシステムが欠如していた、などの他の問題があった。

この報告書は、11月11日に新しいFTXチームが直面した複雑な状況を描写している。このチームは初日から、すでに深刻に崩壊したネットワークを引き継ぐことになった。「FTXグループは暗号資産を保護するための有効な管理が欠如しているため、債務者は数十億ドルの追加資産を失う危険にさらされている」と報告書は述べている。「債務者は、暗号資産を特定しアクセスするための『ロードマップ』がない状態で努力しているため、債務者は特定した多くの種類の資産をコールドウォレットに移転するための技術的な道筋を設計しなければならなかった。」

この明らかなセキュリティの混乱と組織の混乱を考えると、FTXが歴史上最も高額な暗号通貨盗難事件の標的となったことは驚くべきことではない。しかし、その混乱の中でいくつかの迅速な決定が下されなければ、今では状況はさらに悪化していた可能性がある。

「それは非常に非常に狂った夜だった」と前FTX従業員は言った。「私たちは問題を解決し、任務を完了し、大量の顧客のお金を保存しました。」