In einem weiteren langen Thread auf X (früher bekannt als Twitter) enthüllte der ehemalige Software-Ingenieur von Alameda Research, Aditya Baradwaj, wie der Schwesterfonds von FTX mit mehreren Sicherheitsvorfällen zu kämpfen hatte und schließlich mindestens 190 Millionen Dollar an Handelsgeldern verlor.
Eine der bedeutendsten von Baradwaj geschilderten Sicherheitslücken betraf einen Händler bei Alameda, der mehr als 100 Mio. USD an Firmengeldern verlor.
Der Vorfall ereignete sich, als der Händler auf einen bösartigen Link für eine DeFi-App klickte, die an der Spitze der Google-Suchergebnisse angezeigt wurde.
TCN hat Baradwaj um weitere Kommentare gebeten und wird den Artikel aktualisieren, sobald wir eine Antwort erhalten.
Ein weiteres von Baradwaj angeführtes Beispiel betraf die Beteiligung von Alameda am Yield Farming auf einer Blockchain mit „fragwürdiger Legitimität“. Dieses Projekt führte zu Verlusten von mehr als 40 Millionen Dollar, da „der Ersteller unsere Gelder als Geisel hielt und wir monatelange Verhandlungen führten.“
Vorfall 1:
Ein Händler aus Alameda wurde beim Versuch, eine DeFi-Transaktion abzuschließen, durch einen versehentlichen Klick auf einen gefälschten Link, der in den Google-Suchergebnissen ganz oben angezeigt wurde, gephisht
Kosten: $100M+
Postmortem: Wir haben zusätzliche Prüfungen in unserer internen Wallet-Software implementiert
– Adi (e/acc) (@aditya_baradwaj) Oktober 11, 2023
Bei einem weiteren Vorfall wurde Berichten zufolge eine alte Version der Klartext-Schlüsseldatei von Alameda durchsickern gelassen, angeblich von einem ehemaligen Mitarbeiter, so Baradwaj. Dies führte dazu, dass der Angreifer Gelder von einigen Börsen abzog und falsche Aufträge erteilte, wodurch Alameda weitere 50 Millionen Dollar verlor.
„Dies sind nur einige wenige Vorfälle – es gibt noch viele mehr, auch aus der Zeit vor meiner Tätigkeit für das Unternehmen“, so Baradwaj.
Als Reaktion auf die oben genannten Vorfälle führte das Unternehmen einfach zusätzliche Überprüfungen seiner internen Wallet-Software durch, beschloss, vorsichtiger bei der Auswahl der Protokolle zu sein, mit denen es handelt, oder migrierte geheime Schlüssel zu einem sichereren Speichersystem.
„War der Kompromiss das wert?“, fragte Baradwaj. „Sam schien das auf jeden Fall zu glauben. Selbst nach all diesen Vorfällen wurde kein ernsthafter Versuch unternommen, unsere Arbeitsweise zu ändern. Es ist die Art von Risikobereitschaft, die zu funktionieren scheint… bis sie es nicht mehr tut.
Alamada stellt Geschwindigkeit über Sicherheit
Nach Angaben des ehemaligen Alameda-Mitarbeiters legte das Handelsunternehmen großen Wert auf Geschwindigkeit, eine Überzeugung, die von FTX-Gründer Sam Bankman-Fried vertreten wurde.
Dieser Ansatz führte oft dazu, dass das Unternehmen die branchenüblichen technischen und buchhalterischen Praktiken außer Acht ließ.
Dies bedeutete, dass praktisch keine Code-Tests durchgeführt wurden und die Bilanzierung unvollständig war.
Sicherheitsprüfungen für den Handel würden nur bei Bedarf hinzugefügt werden.
Private Blockchain-Schlüssel und Börsen-API-Schlüssel wurden im Klartext in einer Datei gespeichert, auf die mehrere Mitarbeiter zugreifen konnten
– Adi (e/acc) (@aditya_baradwaj) Oktober 11, 2023
Code-Tests gab es laut Baradwaj praktisch nicht, und Sicherheitsprüfungen für den Handel wurden nur dann durchgeführt, wenn sie als notwendig erachtet wurden.
„Diese Entscheidungen ermöglichten es uns, mit atemberaubender Geschwindigkeit zu arbeiten. Eine Entwicklungsgeschwindigkeit, die jeden Software-Ingenieur im Silicon Valley zu Freudentränen rühren würde“, schrieb Baradwaj. „Die Kehrseite dieses Kompromisses war jedoch, dass wir alle paar Monate einen größeren Sicherheitsvorfall hatten.“
Baradwajs Bemerkungen kommen zu einem Zeitpunkt, an dem die ehemalige Alameda-CEO Caroline Ellison am sechsten Tag des Betrugsprozesses gegen Bankman-Fried in New York im Zeugenstand ausgesagt hat.
Sie brachte mehr Licht in die Beziehungen des Unternehmens zu FTX, einschließlich der Tatsache, dass der ehemalige Co-CEO von Alameda thailändische Sexarbeiterinnen angezapft hat, um von der chinesischen Regierung eingefrorene Gelder im Wert von 1 Milliarde Dollar zurückzufordern.
