Ketika lebih dari $400 juta mata uang kripto secara misterius diambil dari kas-kas FTX, yang dulunya merupakan bursa kripto terbesar di dunia, pada hari yang sama ketika perusahaan tersebut menyatakan kebangkrutan pada bulan November 2022, banyak yang awalnya mencurigai pihak dalam perusahaan – termasuk, mungkin, CEO saat itu Sam Bankman-Fried, yang sekarang dinyatakan bersalah atas penipuan. Namun, petunjuk yang ditinggalkan di blockchain selama setahun terakhir menunjukkan bahwa pencuri eksternal telah memilih momen yang sangat tidak nyaman selama kekacauan FTX untuk melakukan pencurian besar-besaran.
Sekarang, petunjuk baru yang terungkap dalam dakwaan Departemen Kehakiman Amerika Serikat menunjukkan sesuatu yang lebih mengejutkan: Beberapa dari para pencuri yang dicurigai tersebut tampaknya berada di Amerika Serikat dan sekarang telah ditangkap.
Dakwaan yang diajukan minggu lalu mendetailkan tuduhan terhadap tiga orang – Robert Powell, Carter Rohn, dan Emily Hernandez – yang dituduh menjalankan sebuah sindikat pencurian cybermassal. Kelompok ini, yang otoritas mengatakan dikenal sebagai “Powell SIM Swapping Crew,” diduga menggunakan SIM swapping – dengan memperdaya perusahaan telepon untuk mengganti registrasi ponsel pengguna ke kartu SIM para pencuri sehingga mereka dapat mengakses kode otentikasi yang dikirim ke ponsel korban – untuk mencuri ratusan juta dolar dari akun korban.
Yang paling mencolok, geng ini dituduh mengalihkan $400 juta mata uang virtual dari akun sebuah perusahaan – yang dalam dakwaan hanya disebut sebagai Perusahaan Korban-1 – pada malam 11 November 2022, berlanjut hingga 12 November. Seperti yang pertama kali dilihat oleh jurnalis keamanan cyber Brian Krebs, itu juga merupakan waktu yang tepat dari pencurian FTX, yang perusahaannya sendiri diperkirakan mencapai antara $415 juta dan $432 juta dalam mata uang kripto yang dicuri.
Firma analisis blockchain, Elliptic, mengonfirmasi inferensi Krebs bahwa pencurian $400 juta yang dijelaskan dalam laporan hampir pasti adalah pencurian FTX. “Kami tidak mengetahui adanya pencurian lain dari bisnis kripto sebesar ini, pada tanggal-tanggal ini,” tulis Elliptic dalam sebuah pos blog. “Oleh karena itu, kemungkinan besar FTX adalah ‘Perusahaan Korban-1’ yang disebutkan dalam dakwaan.”
FTX tidak segera menanggapi permintaan komentar WIRED mengenai apakah mereka adalah korban SIM-swapping yang dijelaskan dalam dakwaan.
Jika dakwaan tersebut memang menggambarkan pencurian FTX – dan mengingat jarangnya pencurian kripto senilai sembilan digit dan waktu yang tepat dari pencurian ini – maka dokumen dakwaan mengungkapkan rincian penting tentang bagaimana pencurian FTX dilakukan. Dokumen tersebut menjelaskan bagaimana Powell diduga meminta Hernandez untuk menargetkan nomor telepon tertentu untuk SIM-swapping. Menurut jaksa, Hernandez kemudian mendapatkan ID palsu dengan fotonya tetapi nama korban – mungkin seorang staf FTX – dan mempersembahkannya di toko ritel AT&T di Texas untuk membuktikan identitasnya saat ia meminta agar akun staf tersebut dialihkan ke ponsel miliknya sendiri.
Hal tersebut memungkinkan kelompok tersebut untuk menguasai pesan yang ditujukan untuk korban, termasuk kode otentikasi untuk akunnya, sesuai dengan dakwaan. Mengingat bahwa kode-kode tersebut biasanya merupakan mekanisme otentikasi faktor kedua yang diperlukan setelah pengguna memasukkan nama pengguna dan kata sandi mereka, tidak jelas bagaimana kredensial lainnya bisa dicuri, meskipun para penjahat cyber biasanya mendapatkannya melalui phishing, malware pencuri kredensial, atau mencoba kredensial yang bocor dalam database lain dan kemungkinan digunakan kembali di akun lain.