作者 | Wired

编译 | 吴说区块链

原文链接：

https://www.wired.com/story/ftx-1-billion-crypto-heist/

去年 11 月 11 日的傍晚，FTX 的员工已经经历了该公司短暂历史中最糟糕的一天。仅仅 10 个月前，这家刚刚成为全球顶级加密货币交易所之一的公司便宣布破产。经过长时间的努力，高管们说服了该公司的首席执行官 Sam Bankman-Fried 将权力交给 John Ray III，这位新的首席执行官现在的任务是引导公司走出一片令人噩梦般的债务困境，而公司似乎没有偿还这些债务的手段。

FTX 似乎已经跌入谷底。直到某个人——一个或多个尚未确定身份的窃贼——选择了那个特定时刻，让事情变得更糟。那个周五傍晚，疲惫不堪的 FTX 员工开始在 Etherscan上看到公司加密货币的神秘流出，数以亿计美元的加密货币正实时被盗。

“我靠，经过这一切，我们还被黑了吗？”一位前FTX员工回忆说，他要求不具名，因为他没有被授权谈论公司内部事务。

根据 FTX 自己的账目，该公司最终将因那些未知窃贼而损失 4.15 亿至 4.32 亿美元的加密货币资产，这一数字已作为其破产程序的一部分被公开确认。FTX 以前没有透露的是，它有多接近可能损失更多——其员工和外部顾问急忙将超过 10 亿美元的加密货币转移到更安全的存储空间，以免其被恶意存在窃取。甚至一度争先恐后地向一位顾问办公室的物理 USB 驱动器发送近 5 亿美元，以防止其落入窃贼之手。

“邀请：紧急”

随着 FTX 不光彩的创始人 Sam Bankman-Fried 的审判进入第二周，加密货币社区的许多人都在密切关注法庭事件，以获取任何关于交易所是如何在离开他的控制几小时后就被如此灾难性地洗劫一空的线索。谁进行了那次盗窃——以及盗贼是 FTX 的内部人还是外部黑客——这个问题最为关键。这个谜尚未解开，Bankman-Fried 和其他 FTX 高级执行官都没有因那次盗窃而被起诉。

但现在，WIRED 可以揭示 FTX 在那个恐慌的夜晚努力限制盗窃造成的损害的事件——以及阻止可能是价值 10 位数的盗窃案。新的 FTX 领导团队在其新 CEO Ray 的领导下，拒绝接受关于这一事件的采访。但 WIRED 从重组公司 Alvarez & Marsall 提交的关于 FTX 破产案的详细发票、参与对盗窃做出即时反应的个人的采访，以及加密货币追踪公司 Elliptic 提供的区块链分析中了解了危机应对的逐时细节。

这一应对开始于 11 月 11 日晚上 10 点左右，当时 FTX 子公司 LedgerX 的首席执行官 Zach Dexter 向 FTX 剩余的 20 多名员工、破产律师、顾问和咨询师发送了一个 Google Meet 的邀请。邀请的一行主题是：“紧急”。

少数几名员工很快加入了那个 Google Meet 视频通话，该通话在接下来的 12 小时内最终会有数十名参与者。他们都能在 Etherscan 上实时看到 FTX 钱包被清空。但几乎没有人知道 FTX 究竟在哪里存放其加密货币，或者如何管理控制那些钱包的密钥。这些信息只由一小群 FTX 精英——Bankman-Fried 及其核心圈子掌握。据在场的消息来源称，Bankman-Fried 从未出现在会议中，但FTX联合创始人和首席技术官 Gary Wang 加入了通话。

据消息人士称，到这时，Wang 已经不再受到接近 Ray 的许多人的信任。在FTX崩溃的过程中，Wang 最初是站在 Bankman-Fried 这一边的，只有在公司内部其他人几天的劝说后，他才与前 CEO 保持了距离。

Wang 在紧急会议中最初提出，通过简单地更改保护正在被清空的钱包的密钥，即可阻止正在进行的盗窃，这一点并没有赢得他的任何批评者的支持。前 FTX 员工记得自己当时觉得这样做毫无意义，因为无论是谁获得了网络访问权限，都可以简单地抓取新的密钥并继续进行他们的盗窃。“狐狸已经进了鸡舍，你还要去更换鸡舍的钥匙？”前员工记得自己当时是这么想的。Wang 后来对 Bankman-Fried 现在面临的相同的刑事指控认罪，对发送给他的律师的评论请求没有回应。

然而，就在 Google Meet 通话开始的时候，LedgerX 的 Dexter 已经开始探索一种不同的方法来保护FTX的资金。在盗窃发生的前一周，数字资产信托公司 BitGo 一直在与负责监管FTX破产流程的律师事务所 Sullivan & Cromwell 谈判，以接管该公司剩余的加密货币资产。因此，Dexter 现在打电话给 BitGo，试图绕过 Sullivan & Cromwell 与该公司开始的漫长的法律合同流程。相反，Dexter 要求 BitGo 立即创建“冷存储”钱包——这些钱包将被安全地保管在离线环境中——FTX 可以将其所有剩余的资金作为一个安全的避风港转移到这些钱包中。Dexter 没有回应评论请求。

BitGo 表示，大约半小时后，这些钱包就可以准备好。FTX 的员工担心这还是太慢了。到那时，盗贼可能会从该公司的钱包中再拿走数亿美元的加密货币。

Google Meet 通话中有人问，是否有人有自己的硬件钱包，可以在 BitGo 准备好之前将钱存放在那里。从纽约郊区的家中参与通话的 Alvarez & Marsall 的 FTX 顾问 Kumanan Ramanathan 自愿提供帮助。他在自己家里的办公室有一个 Ledger Nano——一个 USB 硬件钱包——他提议将其设置为易受攻击的资金的临时避风港。

11 月 11 日美东时间晚上大约 10:30，Ramanathan 在他的 Ledger Nano 上设置了一个新钱包。前 FTX 员工记得看到他检查并再次检查他为该钱包创建的密码。Wang 开始将 FTX 的资金发送到这个钱包，很快，Ramanathan 在他位于威斯彻斯特县家中的 USB 驱动器上持有了公司价值 4 亿至 5 亿美元的加密资产。

深夜 911 电话

几分钟后，BitGo 告诉 FTX 的员工其钱包已经准备好，他们开始将更多数亿美元的加密货币转移到 BitGo 的冷存储，而不是 Ramanathan 的 Ledger 设备。在那个不眠之夜的其余时间里，员工们搜寻了 FTX 资金存储的每一个钱包，并将他们能找到的每一枚硬币都转移到 BitGo。“他们在清理各种系统，试图找到各种私钥在哪里，资产在哪里存放，”参与应对工作的另一名未获授权公开发言的人说。“一片混乱。”

当 FTX 的员工集中精力让高管们批准这些潜在易受攻击的资金转账时， Ramanathan 被留下来持有 Wang 最初转移到他的 Ledger 钱包的加密货币。这造成了一种奇怪的局面，即一个个体实际上拥有 FTX 公司价值大约五亿美元的资金，这本身带来了其独特的法律和安全风险。那个晚上，FTX 的总法律顾问 Ryne Miller 匆忙赶到 Ramanathan 的家中以帮助保管它。Ryne Miller 拒绝对这个故事发表评论，Ramanathan 也没有回应评论请求。

美东时间晚上 10:59，Ramanathan 打电话给警察报告正在进行的盗窃，并解释他正在持有受害者大量的资金，要求警察来到他的家中帮助保护它。毕竟，当时还没有人知道（或现在知道）是谁窃取了其他资金，以及他们是否可能尝试物理接触 Ramanathan 持有的储备。由 WIRED 获得的来自 New Rochelle 警察局的警方报告显示，Ramanathan 告诉 911 调度员，“当前正在发生一起巨大的加密货币袭击，有大量的钱被发送到这个地址”，他“担心这个房子将成为一个目标”。

即使在警察到达后，FTX 的总法务顾问 Miller 仍然在 Ramanathan 家里待了大部分的夜晚。Ramanathan 的计时费用记录显示，他和 Miller 从 11 月 12 日凌晨 2 点左右到凌晨 5 点，在他的家中待了近三个半小时。

Ramanathan 或他的家并没有受到任何实质性的威胁。实际上，当资金被转移到 Ramanathan 的 Ledger 钱包时，从 FTX 的资金盗取就已经停止了。“他用个人的 Ledger 冒了巨大的风险，”前 FTX 员工说，“他太牛了。我有很强烈的感觉，如果我们没有做这个 Ledger，我们会损失更多的钱。”最终，在 11 月 12 日，周六凌晨 5 点左右，Ramanathan 家中办公室的钱被转移到了 BitGo。该公司最终会持有剩余的 FTX 资金 11 亿美元。

周六晚些时候，Bankman-Fried 和 Wang 又将超过 4 亿美元的资金转移到了巴哈马政府控制下的账户以供保管，这一点被福布斯报道并在法庭文件中有记录。有段时间，将资金转移到巴哈马的行为似乎被误认为是盗窃行为本身。盗窃发生一周后，一些媒体错误地报道说，被盗的资金实际上已被巴哈马政府没收。作为相反证据，加密货币追踪公司如 Elliptic 和 Chainalysis 观察到实际被盗资金的部分被发送到常用于洗钱的“混币”服务，如 Railgun 和跨链币交换服务 THORChain，这是执行大规模加密货币盗窃的窃贼典型的行为。

没有防护，无路线图

自从 11 月 11 日那场令人绝望的救援行动以来，负责 FTX 破产程序的新团队公开指控了导致盗窃成为可能的严重安全缺陷。

一份作为 FTX 破产程序一部分而发布的 4 月报告列举了这种所谓的疏忽的例子：先前的 FTX 团队没有独立的首席信息安全官或实际的专门安全团队；尽管员工被指示公开声称只有最多 10% 的加密货币存放在热钱包（连接到互联网的电脑上的钱包）中，但它几乎把所有的加密货币都存放在热钱包中；它留下了未加密的钱包密钥或未能正确设置多个密钥解锁资金所需的安全系统；并且缺乏甚至知道谁何时在转移资金的日志系统，等等其他问题。

该报告还描述了新的 FTX 团队在 11 月 11 日面临的复杂局面，当时，这个团队第一天上任，就发现自己接手了一个已经严重崩溃的网络。“由于 FTX 集团缺乏保护加密资产的有效控制，债务人面临着随时可能丢失数十亿美元额外资产的威胁，”报告写道，用“债务人”这个词来描述由 Ray 领导的新 FTX 管理团队。“由于债务人在没有‘路线图’来引导他们的情况下努力识别和访问加密资产，债务人不得不设计技术路径来将他们识别到的许多类型的资产转移到冷钱包中。”

鉴于这种明显混乱的安全性和组织混乱，FTX 成为历史上成本最高的加密货币盗窃事件的目标也许并不令人惊讶。但如果不是在那种混乱中做出了一些快速的决定，现在看来，情况可能会更糟。

“那是一个非常非常疯狂的夜晚，”前 FTX 员工说，“我们努力解决了问题，完成了任务，并保存了大量客户的钱。