Como os Ladrões da FTX Tentaram Lavar seu Roubo de $400 Milhões
Como os Ladrões da FTX Tentaram Disfarçar o Roubo de $400 Milhões
À medida que o julgamento criminal do fundador da FTX, Sam Bankman-Fried, se desenrola em uma sala de tribunal de Manhattan, alguns observadores do mundo das criptomoedas têm acompanhado um crime relacionado à FTX em andamento: Os ladrões ainda não identificados que roubaram mais de $400 milhões da FTX no mesmo dia em que a exchange declarou falência, têm estado ocupados movendo esses fundos através das blockchains, aparentemente na tentativa de transformar seu loot em dinheiro enquanto cobrem seus rastros. Os observadores da blockchain ainda têm esperança de que o rastro do dinheiro possa ajudar a identificar os culpados do roubo – e responder à questão que paira sobre se alguém com conhecimento interno da FTX estava envolvido.
Hoje, a empresa de rastreamento de criptomoedas Elliptic divulgou um novo relatório sobre o caminho complexo que esses fundos roubados percorreram nos 11 meses desde que foram retirados da FTX em 11 de novembro do ano passado. O rastreamento da Elliptic mostra como essa quantia de nove dígitos, que a FTX estima entre $415 milhões e $432 milhões, desde então foi movida através de uma longa lista de serviços de cripto, enquanto os ladrões tentavam prepará-la para lavagem e liquidação, inclusive através de um serviço pertencente à própria FTX. Mas esses centenas de milhões também ficaram parados durante todo o ano de 2023 – só começaram a se mover novamente este mês, em alguns casos enquanto o próprio Bankman-Fried estava no tribunal, levantando novas perguntas sem respostas sobre a identidade e planos dos ladrões.
“Os fundos basicamente não se moveram por nove meses e, alguns dias antes do início do julgamento, eles começaram a se mover novamente”, diz Tom Robison, cofundador e cientista-chefe da Elliptic. “Por que eles tiveram que mover os fundos agora? Não faz sentido começar a lavar fundos no momento em que há tanta atenção sobre a vítima do hack.”
- Primeiros MacBooks M3 da Apple chegarão no próximo ano, afirma prev...
- Mantenha a calma com $40 de desconto em um termostato Google Nest p...
- Investidores europeus financiam abuso global de spyware
Além desse cronograma estranho, a Elliptic afirma que os ladrões da FTX em grande parte tomaram medidas típicas dos culpados de roubos de criptomoedas em grande escala, enquanto buscavam garantir os fundos, trocá-los por moedas mais facilmente laváveis e, em seguida, enviá-los por meio de serviços de “mistura” de criptomoedas para conseguir a lavagem. A maioria dos fundos roubados, segundo a Elliptic, eram stablecoins que, ao contrário de outras formas de criptomoedas, podem ser congeladas por seu emissor em caso de roubo. De fato, o emissor da stablecoin Tether agiu rapidamente para congelar $31 milhões do dinheiro roubado em resposta ao roubo da FTX. Assim, os ladrões imediatamente começaram a trocar o restante dessas stablecoins por outros tokens de cripto em exchanges descentralizadas como Uniswap e PancakeSwap – que não possuem os requisitos de identificação de cliente que as exchanges centralizadas têm, em parte porque não permitem transações envolvendo moeda fiduciária.
Nos dias seguintes, segundo a Elliptic, os ladrões iniciaram um processo em várias etapas para converter os tokens que trocaram pelas stablecoins em criptomoedas que seriam mais fáceis de lavar. Eles utilizaram serviços de “cross-chain bridge” que permitem que criptomoedas sejam trocadas de uma blockchain para outra, negociando seus tokens nas bridges Multichain e Wormhole para convertê-los em Ethereum. No terceiro dia após o roubo, os ladrões possuíam uma única conta de Ethereum no valor de $306 milhões, cerca de $100 milhões a menos do total inicial devido à apreensão do Tether e ao custo de suas transações.
A partir daí, os ladrões parecem ter focado em trocar seus Ethereums por Bitcoins, que frequentemente são mais fáceis de usar em serviços de “mistura” que se oferecem para mesclar os bitcoins do usuário com os de outros usuários para evitar o rastreamento baseado em blockchain. Em 20 de novembro, nove dias após o roubo, eles trocaram cerca de um quarto de seus Ethereums por Bitcoins em um serviço de bridge chamado RenBridge – um serviço que, ironicamente, era de propriedade da própria FTX. “Sim, é bastante surpreendente que os lucros de um roubo estivessem sendo lavados por meio de um serviço de propriedade da vítima do roubo”, diz Robison da Elliptic.
Em 12 de dezembro, um mês após o roubo, a maior parte dos bitcoins dessa troca na RenBridge foi então enviada para um serviço de mistura chamado ChipMixer. A partir desse ponto, os ladrões ficaram estranhamente em silêncio. O restante dos seus Ethereums ficaria inativo pelos próximos nove meses.
Somente em 30 de setembro, poucos dias antes do julgamento de Bankman-Fried, é que os fundos restantes começaram a se mover novamente, diz a Elliptic. Nessa época, tanto a RenBridge quanto a ChipMixer já haviam sido fechadas – a RenBridge devido ao colapso da sua empresa-mãe, a FTX, e a ChipMixer devido a uma apreensão policial. Então, os ladrões passaram a trocar seus Ethereums por Bitcoins em um serviço chamado THORSwap e, em seguida, rotearam esses bitcoins para um serviço de mistura chamado Sinbad.
Sinbad tornou-se nos últimos anos um destino popular para o crime criptográfico, particularmente de criptomoedas roubadas por hackers norte-coreanos. No entanto, Robison da Elliptic observa que, apesar disso, o movimento dos fundos parece ser menos sofisticado do que ele já viu em um típico roubo norte-coreano. “Não utiliza alguns dos serviços que Lazarus normalmente usa”, diz Robison, referindo-se ao amplo grupo de hackers patrocinados pelo Estado norte-coreano conhecidos como Lazarus. “Então, não parece ser eles”.
Será que o momento desses novos movimentos de fundos antes e durante o julgamento de Bankman-Fried sugere que alguém com conhecimento interno é responsável? Robison da Elliptic observa que, embora o momento seja chamativo, ele só pode especular nesse ponto. É possível que o momento tenha sido apenas coincidência, diz Robison. Ou alguém pode estar movendo o dinheiro agora para fazer parecer que é um insider da FTX – potencialmente alguém que teme perder o acesso à internet. Nem Bankman-Fried nem seus colegas executivos foram acusados do roubo, e algumas das movimentações de dinheiro ocorreram enquanto Bankman-Fried estava em tribunal, apenas com um laptop desconectado da internet.
Eventualmente, sem dúvida, os criminosos tentarão converter suas criptomoedas roubadas e lavadas para alguma moeda fiduciária. Robison ainda tem esperança de que, apesar de usarem misturadores, eles ainda possam ser identificados nesse ponto – embora ele tenha se recusado a responder definitivamente se a Elliptic pode derrotar as medidas de anonimato desses serviços de mistura. “Acho que eles provavelmente terão sucesso em converter pelo menos alguns desses fundos em dinheiro. Acho que a questão de saber se eles vão sair impunes é separada”, diz Robison. “Já existe um rastro no blockchain que pode ser seguido, e acho que esse rastro só vai ficar mais claro com o tempo.”
Outras duas empresas de rastreamento de criptomoedas, TRM Labs e Chainalysis, foram contratadas pelo novo regime da FTX sob o CEO John Ray III para ajudar na investigação. A TRM Labs se recusou a comentar o caso. A Chainalysis não respondeu ao pedido de comentário da ENBLE, nem a própria FTX.
Se esses rastreadores de criptomoedas tiverem sucesso, talvez um dia tenhamos uma resposta para o mistério do roubo da FTX. Enquanto isso, no entanto, os muitos credores prejudicados da FTX terão que manter um olho no julgamento de Bankman-Fried e o outro no blockchain do Bitcoin.
