En otro largo hilo en X (antes conocido como Twitter), el ex ingeniero de software de Alameda Research Aditya Baradwaj reveló cómo el fondo hermano de FTX se enfrentó a múltiples incidentes de seguridad, perdiendo en última instancia al menos 190 millones de dólares en fondos de negociación.
Según Baradwaj, en uno de los incidentes más importantes, un operador de Alameda perdió más de 100 millones de dólares de los fondos de la empresa.
El incidente se desencadenó cuando el operador hizo clic en un enlace malicioso de una aplicación DeFi que se había promocionado a la parte superior de los resultados de búsqueda de Google.
TCN se ha puesto en contacto con Baradwaj para recabar más comentarios y actualizará el artículo si recibimos respuesta.
Otro ejemplo citado por Baradwaj giraba en torno a la participación de Alameda en el cultivo de rendimiento en una blockchain de «legitimidad cuestionable». Esta empresa dio lugar a pérdidas superiores a 40 millones de dólares, ya que «el creador terminó reteniendo nuestros fondos como rehenes, y tuvimos meses de negociaciones prolongadas»
Incidente nº 1:
Un comerciante de Alameda fue víctima de phishing mientras intentaba completar una transacción de DeFi al hacer clic accidentalmente en un enlace falso que había sido promocionado a la parte superior de los resultados de búsqueda de Google.
Coste: más de 100 millones de dólares
Postmortem: Hemos implementado comprobaciones adicionales en nuestro software interno de monederos
– Adi (e/acc) (@aditya_baradwaj) 11 de octubre de 2023
Según Baradwaj, en otro incidente se filtró una versión antigua del archivo de claves en texto plano de Alameda, supuestamente por un antiguo empleado. El resultado fue que el atacante transfirió fondos de algunas bolsas y realizó órdenes erróneas, con lo que Alameda perdió otros 50 millones de dólares.
«Estos son sólo algunos incidentes: hay muchos más, incluso de antes de que yo trabajara en la empresa», afirma Baradwaj.
En respuesta a estos incidentes, la empresa simplemente implementó comprobaciones adicionales en su software interno de monedero, decidió ser más cuidadosa con los protocolos con los que operaba o migró las claves secretas a un sistema de almacenamiento más seguro.
«¿Mereció la pena?», preguntó Baradwaj. «Sam parecía pensar que sí. Incluso después de todos estos incidentes, no se hizo ningún intento serio de cambiar nuestra forma de operar. Es el tipo de riesgo que parece funcionar… hasta que deja de funcionar».
Alamada prima la velocidad sobre la seguridad
Según el antiguo empleado de Alameda, la empresa comercial se centró sustancialmente en dar prioridad a la velocidad, una creencia sostenida por el fundador de FTX, Sam Bankman-Fried.
Este enfoque a menudo llevó a la empresa a pasar por alto las prácticas de ingeniería y contabilidad estándar de la industria.
Esto significaba prácticamente ninguna prueba de código y una contabilidad de balance incompleta.
Los controles de seguridad para el comercio sólo se añadirían cuando fuera necesario.
Las claves privadas de la cadena de bloques y las claves de la API de intercambio se almacenaban en texto plano en un archivo al que podían acceder varios empleados
– Adi (e/acc) (@aditya_baradwaj) 11 de octubre de 2023
Las pruebas de código, según Baradwaj, eran prácticamente inexistentes, y las comprobaciones de seguridad para el comercio sólo se aplicaban cuando se consideraban necesarias.
«Estas decisiones nos permitieron avanzar a una velocidad pasmosa. Una velocidad de desarrollo que haría derramar lágrimas de alegría a cualquier ingeniero de software de Silicon Valley», escribió Baradwaj. «Sin embargo, la otra cara de la moneda era que cada pocos meses teníamos un incidente de seguridad grave».
Las declaraciones de Baradwaj se producen mientras la ex directora ejecutiva de Alameda, Caroline Ellison, sube al estrado para testificar contra Bankman-Fried en el sexto día de su juicio por fraude en Nueva York.
Ellison arrojó más luz sobre las relaciones de la empresa con FTX, entre ellas la de la ex codirectora ejecutiva de Alameda interviniendo a trabajadoras del sexo tailandesas en un intento de reclamar 1.000 millones de dólares de fondos congelados por el gobierno chino.