V dalším dlouhém vlákně na X (dříve známém jako Twitter) bývalý softwarový inženýr společnosti Alameda Research Aditya Baradwaj prozradil, jak se sesterský fond FTX potýkal s několika bezpečnostními incidenty a nakonec přišel o nejméně 190 milionů dolarů v obchodních prostředcích.
Jeden z nejvýznamnějších incidentů, který Baradwaj podrobně popsal, se údajně týkal obchodníka společnosti Alameda, který přišel o více než 100 milionů dolarů z prostředků firmy.
Incident se odehrál, když obchodník kliknul na škodlivý odkaz na aplikaci DeFi, která byla povýšena na první místo ve výsledcích vyhledávání Google.
TCN oslovila společnost Baradwaj s žádostí o další komentáře a v případě, že se nám ozve, bude článek aktualizován.
Další příklad, který Baradwaj uvedl, se točil kolem zapojení společnosti Alameda do pěstování výnosů na blockchainu s „pochybnou legitimitou“. Tento podnik vyústil ve ztráty přesahující 40 milionů dolarů, protože „tvůrce nakonec držel naše prostředky jako rukojmí a my jsme měli měsíce zdlouhavých jednání“
Incident č. 1:
Obchodník z Alamedy byl při pokusu o dokončení transakce DeFi podveden, když omylem kliknul na falešný odkaz, který byl povýšen na první místo ve výsledcích vyhledávání Google.
Náklady: více než 100 milionů dolarů
Postmortem: (@aditya_baradwaj) October 11, 2023
– Adi (e/acc) (@aditya_baradwaj)
Při dalším incidentu údajně došlo k úniku staré verze souboru klíčů Alameda s otevřeným textem, který měl podle Baradwaje provést bývalý zaměstnanec. Výsledkem bylo, že útočník převedl finanční prostředky z některých burz a zadal špatné příkazy, čímž Alameda přišla o dalších 50 milionů dolarů.
„To je jen několik incidentů – je jich mnohem více, včetně těch z doby před mým působením ve společnosti,“ řekl Baradwaj.
V reakci na výše uvedené incidenty firma jednoduše zavedla dodatečné kontroly svého interního softwaru peněženek, rozhodla se dávat větší pozor na to, na kterých protokolech obchoduje, nebo přesunula tajné klíče do bezpečnějšího systému ukládání.
„Stálo to za ten kompromis?“ zeptal se Baradwaj. „Zdá se, že Sam si to rozhodně myslí. Ani po všech těch incidentech se nepokusil vážně změnit způsob fungování. Je to ten druh riskování, který se zdá, že funguje… dokud nefunguje.“
Alamada upřednostňuje rychlost před bezpečností
Podle bývalého zaměstnance společnosti Alameda kladla obchodní firma značný důraz na upřednostňování rychlosti, což je přesvědčení zakladatele FTX Sama Bankmana-Frieda.
Tento přístup často vedl k tomu, že společnost přehlížela standardní inženýrské a účetní postupy.
To znamenalo prakticky žádné testování kódu a neúplné bilanční účetnictví.
Bezpečnostní kontroly pro obchodování se přidávaly pouze podle potřeby.
Soukromé klíče blockchainu a klíče API burzy byly uloženy v prostém textu v souboru, ke kterému mělo přístup několik zaměstnanců
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Testování kódu podle Baradwaje prakticky neexistovalo a bezpečnostní kontroly pro obchodování byly prováděny pouze tehdy, když to bylo považováno za nezbytné.
„Tato rozhodnutí nám umožnila pohybovat se dechberoucí rychlostí. Vývojářskou rychlostí, při které by každý softwarový inženýr v Silicon Valley ronil slzy radosti,“ napsal Baradwaj. „Odvrácenou stranou tohoto kompromisu však bylo, že jsme jednou za několik měsíců zaznamenali závažný bezpečnostní incident.“
Baradwajovy poznámky zazněly v době, kdy bývalá generální ředitelka společnosti Alameda Caroline Ellisonová vystoupila před soudem, aby poskytla svědectví proti Bankman-Friedovi v šestý den jeho procesu s podvodníky v New Yorku.
Vnesla více světla do vztahů firmy s FTX, včetně toho, že bývalý spoluředitel společnosti Alameda využíval thajské sexuální pracovnice ve snaze získat zpět finanční prostředky v hodnotě 1 miliardy dolarů, které zmrazila čínská vláda.
