كما المجرم تتكشف محاكمة مؤسس FTX سام بانكمان فرايد في قاعة محكمة مانهاتن، وكان بعض المراقبين في عالم العملات المشفرة يراقبون جريمة مختلفة متعلقة بـ FTX قيد التنفيذ: اللصوص الذين لم يتم التعرف عليهم بعد والذين سرقوا أكثر من 400 مليون دولار من FTX في نفس اليوم أعلنت البورصة إفلاسها، بعد تسعة أشهر من الصمت، وكانت مشغولة بنقل تلك الأموال عبر blockchain في محاولة واضحة لصرف غنائمها أثناء تغطية مساراتها. لا يزال مراقبو بلوكتشين يأملون في أن يساعد تتبع الأموال في التعرف على مرتكب السرقة – ووفقًا لإحدى شركات تتبع العملات المشفرة، تشير بعض الدلائل الآن إلى أن هؤلاء اللصوص قد تكون لهم علاقات بروسيا.
اليوم، أصدرت شركة تتبع العملات المشفرة Elliptic تقريرًا جديدًا عن المسار المعقد الذي اتخذته تلك الأموال المسروقة على مدار 11 شهرًا منذ انسحابها من FTX في 11 نوفمبر من العام الماضي. يُظهر تتبع Elliptic كيف أن هذا المبلغ المكون من تسعة أرقام، والذي تقدره FTX بما يتراوح بين 415 مليون دولار و432 مليون دولار، قد انتقل منذ ذلك الحين عبر قائمة طويلة من خدمات العملات المشفرة حيث يحاول اللصوص إعداده للغسيل والتصفية، وحتى من خلال خدمة واحدة مملوكة لشركة Elliptic. FTX نفسها. لكن مئات الملايين تلك ظلت أيضًا خاملة طوال عام 2023، فقط لتبدأ في التحرك مرة أخرى هذا الشهر، وفي بعض الحالات أثناء جلوس بانكمان فرايد نفسه في المحكمة.
والأمر الأكثر دلالة هو أن تحليل Elliptic هو أول من لاحظ أن كل من يقوم بغسل أموال FTX المسروقة يبدو أن له علاقات بالجرائم الإلكترونية الروسية. وانتهت شريحة من الأموال بقيمة 8 ملايين دولار في مجموعة من الأموال تتضمن أيضًا عملات مشفرة من قراصنة برامج الفدية المرتبطة بروسيا وأسواق الويب المظلمة. يشير هذا الخلط بين الأموال إلى أنه، سواء كان اللصوص الفعليون روسًا أم لا، فإن غاسلي الأموال الذين تلقوا أموال FTX المسروقة هم على الأرجح روس، أو يعملون مع مجرمي الإنترنت الروس.
يقول توم روبيسون، كبير العلماء في شركة Elliptic والمؤسس المشارك: “يبدو من المرجح بشكل متزايد أن يكون لدى مرتكب الجريمة صلات بروسيا”. “لا يمكننا أن نعزو هذا إلى ممثل روسي، ولكن هذا مؤشر على أنه قد يكون كذلك.”
منذ الأيام الأولى لعملية غسيل الأموال بعد السرقة، تقول Elliptic إن لصوص FTX اتخذوا إلى حد كبير خطوات نموذجية لمرتكبي عمليات سرقة العملات المشفرة واسعة النطاق حيث سعى الجناة إلى تأمين الأموال، واستبدالها بعملات معدنية يمكن غسلها بسهولة أكبر. ومن ثم توجيههم من خلال خدمات “خلط” العملات المشفرة لتحقيق عملية الغسيل هذه. يقول Elliptic إن غالبية الأموال المسروقة كانت عبارة عن عملات مستقرة يمكن تجميدها من قبل الجهة المصدرة لها، على عكس الأشكال الأخرى من العملات المشفرة، في حالة السرقة. في الواقع، تحركت شركة Tether، مُصدرة العملة المستقرة، بسرعة لتجميد 31 مليون دولار من الأموال المسروقة ردًا على سرقة FTX. لذلك بدأ اللصوص على الفور في استبدال بقية تلك العملات المستقرة برموز مشفرة أخرى في البورصات اللامركزية مثل Uniswap وPancakeSwap – والتي لا تتطلب متطلبات معرفة عميلك التي تتطلبها البورصات المركزية، ويرجع ذلك جزئيًا إلى أنها لا تسمح بتبادلات عملة ورقية.
يقول Elliptic إنه في الأيام التي تلت ذلك، بدأ اللصوص عملية متعددة الخطوات لتحويل الرموز المميزة التي استبدلوها بالعملات المستقرة إلى عملات مشفرة يسهل غسلها. لقد استخدموا خدمات “الجسر عبر السلسلة” التي تسمح بتبادل العملات المشفرة من سلسلة بلوكتشين إلى أخرى، وتداول الرموز المميزة الخاصة بهم على الجسور Multichain وWormhole لتحويلها إلى Ethereum. بحلول اليوم الثالث بعد السرقة، كان اللصوص يمتلكون حسابًا واحدًا في إيثريوم بقيمة 306 مليون دولار، بانخفاض حوالي 100 مليون دولار عن إجماليهم الأولي بسبب الاستيلاء على تيثر وتكلفة تداولاتهم.
ومن هناك، يبدو أن اللصوص قد ركزوا على تبادل عملة الإيثريوم الخاصة بهم مقابل عملة البيتكوين، والتي غالبًا ما يكون من الأسهل إدخالها في خدمات “الخلط” التي تعرض مزج عملات البيتكوين الخاصة بالمستخدم مع عملات المستخدمين الآخرين لمنع التتبع القائم على تقنية blockchain. في 20 نوفمبر، بعد تسعة أيام من السرقة، قاموا بتداول حوالي ربع ممتلكاتهم من الإيثيريوم مقابل البيتكوين على خدمة جسر تسمى RenBridge – وهي خدمة كانت، من المفارقات، مملوكة لشركة FTX. يقول روبيسون من Elliptic: “نعم، إنه لأمر مدهش للغاية، حقًا، أن يتم غسل عائدات الاختراق من خلال خدمة مملوكة لضحية الاختراق”.
