Als Kryptowährungen im Wert von mehr als 400 Millionen US-Dollar auf mysteriöse Weise aus den Kassen der einst größten Kryptowährungsbörse der Welt, FTX, am selben Tag, an dem sie im November 2022 Insolvenz anmeldete, gezogen wurden, verdächtigten viele zunächst Insider des Unternehmens – darunter möglicherweise der damalige CEO Sam Bankman-Fried, jetzt wegen Betrugs verurteilt. Aber Hinweise, die im letzten Jahr in allen Blockchains hinterlassen wurden, deuten stattdessen darauf hin, dass externe Diebe einen besonders ungünstigen Moment während der FTX-Krise gewählt hatten, um einen riesigen Raubüberfall zu verüben.
Nun deuten neue Hinweise, die in einer Anklageschrift des US-Justizministeriums enthüllt wurden, auf etwas noch Überraschenderes hin: Einige dieser mutmaßlichen Diebe scheinen sich in den Vereinigten Staaten aufgehalten zu haben wurden nun festgenommen.
Ein Anklage wurde letzte Woche eingereicht Einzelheiten zu den Anklagen gegen drei Personen – Robert Powell, Carter Rohn und Emily Hernandez – denen vorgeworfen wird, einen riesigen Cyberkriminellen-Diebstahlring betrieben zu haben. Die Gruppe, die nach Angaben der Behörden als „Powell SIM Swapping Crew“ bekannt war, nutzte angeblich SIM-Swaps und brachte Telefongesellschaften dazu, die Mobiltelefonregistrierung eines Benutzers auf die SIM-Karte der Diebe umzustellen, damit diese Zugriff auf die an die Diebe gesendeten Authentifizierungscodes erhalten konnten das Telefon des Opfers – um Hunderte Millionen Dollar von den Konten der Opfer zu stehlen.
Insbesondere wird der Bande vorgeworfen, in der Nacht vom 11. November 2022 bis zum 12. November 400 Millionen US-Dollar in virtueller Währung von den Konten eines Unternehmens – das in der Anklageschrift nur als Victim Company-1 genannt wird – abgeschöpft zu haben erstmals entdeckt vom Cybersicherheitsjournalisten Brian Krebsdas ist auch der genaue Zeitpunkt des Diebstahls von FTX, den das Unternehmen selbst auf gestohlene Kryptowährungen im Wert von 415 bis 432 Millionen US-Dollar beziffert.
Das Blockchain-Analyseunternehmen Elliptic bestätigte Krebs‘ Schlussfolgerung, dass es sich bei dem im Bericht beschriebenen Diebstahl in Höhe von 400 Millionen US-Dollar mit ziemlicher Sicherheit um den FTX-Überfall handelt. „Uns sind zu diesen Daten keine weiteren Diebstähle von Kryptounternehmen in diesem Ausmaß bekannt“, schrieb Elliptic in einem Blogeintrag. „Es erscheint daher wahrscheinlich, dass FTX das in der Anklageschrift genannte ‚Opferunternehmen-1‘ ist.“
FTX antwortete nicht sofort auf die Bitte von WIRED um einen Kommentar dazu, ob es sich um das in der Anklageschrift beschriebene Opfer des SIM-Tauschs handelt.
Wenn die Anklage tatsächlich den FTX-Diebstahl beschreibt – und angesichts der relativen Seltenheit von Kryptowährungsdiebstählen im neunstelligen Bereich und des genauen Zeitpunkts dieses Falles – dann enthüllt das Anklagedokument wichtige Details darüber, wie der FTX-Überfall durchgeführt wurde. Darin wird beschrieben, wie Powell Hernandez angeblich gebeten hat, eine bestimmte Telefonnummer für den SIM-Austausch auszuwählen. Nach Angaben der Staatsanwaltschaft besorgte sich Hernandez daraufhin einen gefälschten Ausweis mit ihrem Foto, aber dem Namen ihres Opfers – möglicherweise eines FTX-Mitarbeiters – und legte ihn in einem AT&T-Einzelhandelsgeschäft in Texas vor, um ihre Identität zu beweisen, als sie beantragte, das Konto des Mitarbeiters auf sie zu übertragen eigenes Telefon.
Dies ermöglichte es der Gruppe, Nachrichten zu kapern, die für das Opfer bestimmt waren, einschließlich Authentifizierungscodes für sein Konto, heißt es in der Anklageschrift. Da diese Codes in der Regel einen Zwei-Faktor-Authentifizierungsmechanismus darstellen, der erforderlich ist, nachdem ein Benutzer seinen Benutzernamen und sein Passwort eingegeben hat, ist nicht klar, wie diese anderen Anmeldeinformationen gestohlen worden sein könnten, obwohl Cyberkriminelle sie normalerweise durch Phishing, Malware zum Stehlen von Anmeldeinformationen oder das Ausprobieren von Anmeldeinformationen erhalten in andere Datenbank-Dumps gelangt und möglicherweise kontenübergreifend wiederverwendet.