В поредната дълга тема в X (известен по-рано като Twitter) бившият софтуерен инженер на Alameda Research Адитя Барадвадж разкри как сестринският фонд FTX се е сблъскал с множество инциденти със сигурността, като в крайна сметка е загубил поне 190 млн. долара в средства за търговия.
Един от най-значимите експлойти, описан подробно от Барадвадж, е свързан с това, че търговец в Alameda е загубил повече от 100 млн. долара от средствата на фирмата.
Инцидентът се е развил, когато търговецът е щракнал върху злонамерена връзка за приложение DeFi, която е била издигната на върха на резултатите от търсенето в Google.
TCN се свърза с Барадвадж за допълнителни коментари и ще актуализира статията, ако получим отговор.
Друг пример, посочен от Барадвадж, се върти около участието на Аламеда в отглеждането на добиви в блокчейн със „съмнителна легитимност“. Това начинание доведе до загуби, надхвърлящи 40 млн. долара, тъй като „създателят в крайна сметка държеше средствата ни като заложници и имахме месеци на продължителни преговори“
Инцидент №1:
Търговец от Аламеда е бил измамен, докато се е опитвал да завърши транзакция с DeFi, като случайно е щракнал върху фалшива връзка, която е била издигната на върха на резултатите от търсенето в Google
Цена: над 100 млн. долара
След смъртта: Въведохме допълнителни проверки на нашия вътрешен софтуер за портфейли
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Предполага се, че при друг инцидент е изтекла стара версия на файла с ключове с обикновен текст на Alameda, предполагаемо от бивш служител, според Барадвадж. В резултат на това нападателят е прехвърлил средства от някои борси и е направил лоши поръчки, като Alameda е загубила още 50 млн. долара.
„Това са само няколко инцидента – има много повече, включително отпреди времето, когато бях в компанията“, каза Барадвадж.
В отговор на горепосочените инциденти фирмата просто е въвела допълнителни проверки на вътрешния си софтуер за портфейли, решила е да внимава повече на кои протоколи търгува или е мигрирала тайните ключове към по-сигурна система за съхранение.
„Струваше ли си компромисът?“ – попита Барадвадж. „Сам определено изглеждаше, че е така. Дори след всички тези инциденти не беше направен сериозен опит да се промени начинът ни на работа. Това е вид поемане на риск, който изглежда работи… докато не проработи.“
Аламада предпочита скоростта пред сигурността
Според бившия служител на „Аламеда“ фирмата за търговия е поставила значителен акцент върху приоритизирането на скоростта – убеждение, поддържано от основателя на FTX Сам Банкман-Фрид.
Този подход често е карал компанията да пренебрегва стандартните за индустрията инженерни и счетоводни практики.
Това означаваше почти никакво тестване на кода и непълно счетоводно отчитане на баланса
Проверките за безопасност при търговия се добавяха само при необходимост
Частните ключове на блокчейна и API ключовете на борсата са били съхранявани в обикновен текст във файл, до който са имали достъп няколко служители
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Тестването на кода, според Барадвадж, на практика не е съществувало, а проверките за безопасност на търговията са били прилагани само когато се е смятало за необходимо.
„Тези решения ни позволиха да се движим със спираща дъха скорост. Скорост на разработчиците, която би накарала всеки софтуерен инженер от Силициевата долина да пролее сълзи от радост“, пише Барадвадж. „Обаче обратната страна на този компромис беше, че веднъж на всеки няколко месеца щяхме да имаме сериозен инцидент със сигурността.“
Забележките на Барадвадж идват в момент, когато бившият главен изпълнителен директор на „Аламеда“ Каролин Елисън излезе на свидетелската скамейка, за да даде показания срещу Банкман-Фрид на шестия ден от процеса за измама в Ню Йорк.
Тя хвърли повече светлина върху отношенията на фирмата с FTX, включително върху това, че бившият съизпълнителен директор на „Аламеда“ е подслушвал тайландски секс работнички в опит да си върне средства на стойност 1 млрд. долара, замразени от китайското правителство.
