11月11日に仮想通貨取引所FTXが破産申請した直後に4億5000万ドル以上の資産が流出した。FTXを攻撃したハッカーは、ハッキングが最初に指摘されてから4日後にも、取引所から資産を流出させ続けている。

仮想通貨分析会社Certikは、ハッカーウォレットがFTXとFTX.USに関連するウォレットからまだ仮想通貨を流出させ続けているとツイッターで指摘した。FTXハッカーのウォレットは現在、6200万ドル相当の資産を保有している。

11月12日以降、ハッカーウォレットは32億のミームトークンを受け取り、交換し、そのうちの28億を人気のあるアドレスに送っている。これらのミームトークンのほとんどは、FTX Sucks、Fuck FTX、CRO Nextなどの冒涜的な名前のトークンから構成されている。

Meme tokens sent and received by FTX exploit address. Source: Certik

ZachXBTというTwitter名で活動している仮想通貨アナリストが、最近の資金の動きは単なるオンチェーントークンの「スプーフィング」であると主張している。このアナリストは、Etherscanの送金ログは偽装することができ、FTXハッキングにおける最近の資金の動きはその一例であると指摘している。

ERC-20標準の「transfer」「transfer from」機能は、スマートコントラクト内で指定すれば、任意のアドレスをトークンの送信元とすることができ、結果として、取引を開始したアドレスとは異なるアドレスからトークンが転送されるように変更することができてしまう。

これらのトークンは、任意のアドレスに送信でき、そのアドレスから(他のアドレスに)送信しても、アドレスの所有者はこれらのトークンをコントロールすることができない。トランザクションを開いて「sent from」と表示されているところを見れば、別のアドレスが表示される。

11月12日に報じたように、FTXが破産を発表した直後にハッキングの疑いが浮上した。当時、流出した6億6300万ドルのうち、約4億7700万ドルが盗まれた疑いがあり、残りはFTX自身が安全な保管場所に移したとみられている。

ウォレットの所有者は、1inclh経由で2600万ドルのテザー(USDT)をDai(DAI)にスワップしていることが判明し、Paxos発行の安定コインであるパックスダラー(USDP)をCoWプロトコルで取引している。このウォレットは、チェーンリンク(LINK)、コンパウンドUSDT(cUSDT)、ステークド・イーサ(stETH)など、他の仮想通貨の送金や売却も承認している。

FTXグローバルとFTX.USは完全に独立しているにもかかわらず、ハッカーが同時に資産を流出させたことが注目されており、内部犯行ではないかとの憶測を呼んでいる

Certikのセキュリティ運用ディレクターであるヒュー・ブルックス氏はコインテレグラフに対し、オンチェーンの証拠がその可能性を強く示唆していると語る。

「オンチェーンの証拠にこだわると、秘密鍵の漏洩がない限り(現時点ではその証拠はない)、FTX取引所とFTX USウォレットにアクセスできる誰かが、ブラックハットのウォレットに資金を移動したと断定することはできない」

クラーケンの最高セキュリティ責任者ニック・パーココ氏はその後、ユーザーの身元を把握しているとツイートしたが、それ以上の情報を公にはしなかった。Certikはコインテレグラフに対し、パーココ氏はコールドウォレットへの資金移動に関わるホワイトハックに言及している可能性を指摘した。