In un altro lungo thread su X (precedentemente noto come Twitter), l’ex ingegnere informatico di Alameda Research Aditya Baradwaj ha rivelato come il fondo gemello di FTX abbia dovuto affrontare diversi incidenti di sicurezza, perdendo alla fine almeno 190 milioni di dollari in fondi di trading.
Uno degli exploit più significativi descritti da Baradwaj avrebbe coinvolto un trader di Alameda che ha perso oltre 100 milioni di dollari di fondi della società.
L’incidente si è verificato quando il trader ha cliccato su un link dannoso per un’applicazione DeFi che era stata promossa in cima ai risultati di ricerca di Google.
TCN ha contattato Baradwaj per ulteriori commenti e aggiornerà l’articolo in caso di risposta.
Un altro esempio citato da Baradwaj riguarda il coinvolgimento di Alameda nella coltivazione di rendimenti su una blockchain di “dubbia legittimità”. Questa impresa ha comportato perdite superiori a 40 milioni di dollari, poiché “il creatore ha finito per tenere in ostaggio i nostri fondi e abbiamo avuto mesi di trattative prolungate”.
Incidente 1:
Un trader di Alameda è stato vittima di un phishing mentre cercava di completare una transazione DeFi, cliccando per sbaglio su un link falso che era stato promosso in cima ai risultati di ricerca di Google.
Costo: oltre 100 milioni di dollari
Post-mortem: Implementati controlli extra sul nostro software di portafoglio interno
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Secondo Baradwaj, un altro incidente ha visto trapelare una vecchia versione del file delle chiavi in chiaro di Alameda, presumibilmente da parte di un ex dipendente. Il risultato è stato che l’aggressore ha trasferito fondi da alcune borse e ha piazzato ordini sbagliati, facendo perdere ad Alameda altri 50 milioni di dollari.
“Questi sono solo alcuni incidenti: ce ne sono molti altri, anche precedenti alla mia permanenza in azienda”, ha dichiarato Baradwaj.
In risposta ai suddetti incidenti, l’azienda ha semplicemente implementato controlli supplementari sul software del proprio portafoglio interno, ha deciso di prestare maggiore attenzione ai protocolli su cui effettuava il trading o ha migrato le chiavi segrete su un sistema di archiviazione più sicuro.
“Ne è valsa la pena?”, ha chiesto Baradwaj. “Sam sembra pensarla così. Anche dopo tutti questi incidenti, non è stato fatto alcun serio tentativo di cambiare il nostro modo di operare. È il tipo di assunzione di rischi che sembra funzionare… finché non funziona”.
Alamada privilegia la velocità rispetto alla sicurezza
Secondo l’ex dipendente di Alameda, la società di trading si concentrava in modo sostanziale sulla priorità della velocità, una convinzione del fondatore di FTX Sam Bankman-Fried.
Questo approccio portava spesso l’azienda a trascurare le pratiche ingegneristiche e contabili standard del settore.
Questo significava praticamente nessun test del codice e una contabilità di bilancio incompleta.
I controlli di sicurezza per il trading sarebbero stati aggiunti solo su base occasionale.
Le chiavi private della blockchain e le chiavi API dell’exchange erano memorizzate in chiaro in un file a cui potevano accedere diversi dipendenti
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Secondo Baradwaj, i test del codice erano praticamente inesistenti e i controlli di sicurezza per il trading venivano implementati solo se ritenuti necessari.
“Queste decisioni ci hanno permesso di muoverci a una velocità mozzafiato. Una velocità di sviluppo che farebbe versare lacrime di gioia a qualsiasi ingegnere informatico della Silicon Valley”, ha scritto Baradwaj. “Tuttavia, il rovescio della medaglia di questo compromesso era che ogni pochi mesi si verificava un grave incidente di sicurezza”.
Le osservazioni di Baradwaj arrivano mentre l’ex amministratore delegato di Alameda, Caroline Ellison, è salita sul banco dei testimoni per testimoniare contro Bankman-Fried nel sesto giorno del processo per frode a New York.
Ellison ha fatto luce sui rapporti dell’azienda con FTX, tra cui il fatto che l’ex co-CEO di Alameda abbia attinto a delle lavoratrici del sesso thailandesi nel tentativo di recuperare fondi per un miliardo di dollari congelati dal governo cinese.
