Dans un autre long fil de discussion sur X (anciennement connu sous le nom de Twitter), l’ancien ingénieur logiciel d’Alameda Research, Aditya Baradwaj, a révélé comment le fonds frère de FTX a été confronté à de multiples incidents de sécurité, perdant au final au moins 190 millions de dollars en fonds de trading.
L’un des exploits les plus importants décrits par Baradwaj aurait impliqué un trader d’Alameda qui aurait perdu plus de 100 millions de dollars des fonds de l’entreprise.
L’incident s’est produit lorsque le trader a cliqué sur un lien malveillant pour une application DeFi qui avait été promue au sommet des résultats de recherche Google.
TCN a contacté M. Baradwaj pour obtenir des commentaires supplémentaires et mettra à jour l’article en cas de réponse.
Un autre exemple cité par Baradwaj concerne l’implication d’Alameda dans l’agriculture de rendement sur une blockchain à la « légitimité douteuse ». Cette entreprise a entraîné des pertes supérieures à 40 millions de dollars, car « le créateur a fini par prendre nos fonds en otage, et nous avons eu des mois de négociations prolongées. «
Incident 1 :
Un trader d’Alameda a été victime d’un hameçonnage alors qu’il tentait d’effectuer une transaction DeFi en cliquant accidentellement sur un faux lien qui avait été promu au sommet des résultats de recherche Google.
Coût : plus de 100 millions de dollars
Analyse a posteriori : Mise en place de contrôles supplémentaires sur notre logiciel de portefeuille interne
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Yet another incident reportedly saw an old version of Alameda’s plaintext keys file leaked, supposedly by a former employee, according to Baradwaj. L’attaquant a alors transféré des fonds hors de certaines bourses et passé de mauvais ordres, ce qui a fait perdre 50 millions de dollars supplémentaires à Alameda.
« Il ne s’agit que de quelques incidents, il y en a beaucoup d’autres, y compris ceux qui ont eu lieu avant mon arrivée dans l’entreprise », a déclaré M. Baradwaj.
En réponse à ces incidents, l’entreprise a simplement mis en place des contrôles supplémentaires sur son logiciel de portefeuille interne, a décidé d’être plus prudente quant aux protocoles sur lesquels elle négociait, ou a transféré les clés secrètes vers un système de stockage plus sûr.
« Le compromis en valait-il la peine ? », demande M. Baradwaj. « Sam semble en tout cas le penser. Même après tous ces incidents, aucune tentative sérieuse n’a été faite pour modifier notre mode de fonctionnement. C’est le genre de prise de risque qui semble fonctionner… jusqu’à ce qu’elle ne fonctionne plus. «
Alamada privilégie la rapidité à la sécurité
Selon l’ancien employé d’Alameda, la société de négoce mettait l’accent sur la priorité à la vitesse, une conviction du fondateur de FTX, Sam Bankman-Fried.
Cette approche a souvent conduit l’entreprise à négliger les pratiques d’ingénierie et de comptabilité en vigueur dans le secteur.
Cela signifie qu’il n’y a pratiquement pas de tests de code et que la comptabilité de l’équilibre est incomplète
Les contrôles de sécurité pour les échanges ne seraient ajoutés qu’en cas de besoin.
Les clés privées de la blockchain et les clés API des échanges étaient stockées en clair dans un fichier auquel plusieurs employés pouvaient accéder
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Selon M. Baradwaj, les tests de code étaient pratiquement inexistants et les contrôles de sécurité pour les échanges n’étaient mis en œuvre que lorsqu’ils étaient jugés nécessaires.
« Ces décisions nous ont permis d’avancer à une vitesse époustouflante. Une vitesse de développement qui ferait verser des larmes de joie à n’importe quel ingénieur logiciel de la Silicon Valley », écrit Baradwaj. « Toutefois, le revers de la médaille était qu’un incident de sécurité majeur se produisait tous les quelques mois.
Les remarques de M. Baradwaj interviennent alors que l’ancienne directrice générale d’Alameda, Caroline Ellison, a témoigné contre Bankman-Fried au sixième jour de son procès pour fraude à New York.
Elle a fait la lumière sur les relations de l’entreprise avec FTX, notamment sur le fait que l’ancien codirecteur général d’Alameda a exploité des prostituées thaïlandaises pour tenter de récupérer un milliard de dollars de fonds gelés par le gouvernement chinois.
