Cuando se sacaron misteriosamente más de 400 millones de dólares en criptomonedas de las arcas de lo que alguna vez fue el mayor intercambio de criptomonedas del mundo, FTX, el mismo día en que se declaró en bancarrota en noviembre de 2022, muchos inicialmente sospecharon de personas con información privilegiada en la compañía, incluidos: potencialmente, el entonces director ejecutivo Sam Bankman-Fried, ahora condenado por fraude. Pero las pistas dejadas en las cadenas de bloques durante el año pasado sugirieron en cambio que los ladrones externos habían elegido un momento particularmente inconveniente durante la crisis de FTX para llevar a cabo un enorme atraco.
Ahora, nuevas pistas reveladas en una acusación del Departamento de Justicia de Estados Unidos sugieren algo aún más sorprendente: algunos de esos presuntos ladrones parecen haber estado en Estados Unidos y ahora han sido arrestados.
Una acusación presentada la semana pasada detalla los cargos contra tres personas (Robert Powell, Carter Rohn y Emily Hernandez) acusadas de dirigir una red masiva de robo cibercriminal. El grupo, que según las autoridades era conocido como «Powell SIM Swapping Crew», supuestamente utilizó intercambios de SIM, engañando a las compañías telefónicas para que cambiaran el registro del teléfono móvil de un usuario a la tarjeta SIM de los ladrones para poder acceder a los códigos de autenticación enviados al teléfono de la víctima—para robar cientos de millones de dólares de las cuentas de las víctimas.
En particular, la pandilla está acusada de desviar 400 millones de dólares en moneda virtual de las cuentas de una empresa (nombrada en la acusación solo como Victim Company-1) la noche del 11 de noviembre de 2022 y hasta el 12 de noviembre. Brian Krebs, periodista de ciberseguridad, ese es también el momento exacto del robo de FTX, que la propia compañía ha calculado entre $ 415 millones y $ 432 millones en criptomonedas robadas.
La firma de análisis blockchain Elliptic corroboró la inferencia de Krebs de que el robo de 400 millones de dólares descrito en el informe es casi con certeza el atraco a FTX. «No tenemos conocimiento de ningún otro robo a esta escala por parte de empresas de criptomonedas en estas fechas», escribió Elliptic en una publicación de blog. «Por lo tanto, parece probable que FTX sea la ‘Compañía Víctima-1’ nombrada en la acusación».
FTX no respondió de inmediato a la solicitud de WIRED de comentar si se trata de la víctima del intercambio de SIM descrita en la acusación.
Si la acusación, de hecho, describe el robo de FTX, y dada la relativa rareza de los robos de criptomonedas de nueve cifras y el momento exacto de este, entonces el documento de acusación revela detalles clave sobre cómo se llevó a cabo el atraco de FTX. Describe cómo Powell supuestamente le pidió a Hernández que apuntara a un número de teléfono específico para el intercambio de SIM. Según los fiscales, Hernández luego obtuvo una identificación falsa con su fotografía pero el nombre de su víctima, potencialmente un empleado de FTX, y la presentó en una tienda minorista de AT&T en Texas para probar su identidad mientras solicitaba que la cuenta del empleado le fuera transferida. propio teléfono.
Eso permitió al grupo secuestrar mensajes destinados a la víctima, incluidos códigos de autenticación para su cuenta, según la acusación. Dado que esos códigos generalmente representan un mecanismo de autenticación de segundo factor requerido después de que un usuario ingresa su nombre de usuario y contraseña, no está claro cómo esas otras credenciales podrían haber sido robadas, aunque los ciberdelincuentes generalmente las obtienen a través de phishing, malware de robo de credenciales o intento de credenciales. filtrado en otros volcados de bases de datos y potencialmente reutilizado entre cuentas.