元アラメダ・リサーチのソフトウェア・エンジニア、アディティヤ・バラドワジ氏は、X(旧ツイッター)の長文スレッドで、FTXの姉妹ファンドが複数のセキュリティ・インシデントに見舞われ、最終的に少なくとも1億9000万ドルの取引資金を失ったことを明らかにした。
バラドワジ氏が詳述した最も重大な悪用のひとつは、アラメダのトレーダーが1億ドル以上の資金を失ったことだという。
この事件は、トレーダーがグーグル検索結果のトップに表示されたDeFiアプリの悪質なリンクをクリックしたことから展開した。
TCNはBaradwaj氏に追加コメントを求めた。
Baradwaj氏が挙げたもう一つの例は、Alameda社が “正当性に疑問のある “ブロックチェーン上のイールドファーミングに関与していたことだ。このベンチャーは4000万ドルを超える損失を出し、「結局、そのクリエイターは我々の資金を人質に取り、何カ月も交渉が長引いた」
。
インシデント1:
アラメダのトレーダーがDeFi取引を完了しようとして、グーグル検索結果のトップに表示された偽のリンクを誤ってクリックし、フィッシングに遭った。
被害額:1億ドル以上
事後処理 内部ウォレットソフトウェアに追加チェックを導入
– Adi (e/acc) (@aditya_baradwaj) 2023年10月11日
さらに別の事件では、元従業員によるものと思われるが、Alamedaの平文鍵ファイルの古いバージョンが流出したとBaradwaj氏は報告している。その結果、攻撃者はいくつかの取引所から資金を移し、不正な注文を出し、アラメダはさらに5000万ドルを失った。
「これらはほんの一例に過ぎず、私が在籍していた以前のものも含めれば、まだまだあります」とバラドワジ氏。
上記のインシデントに対応するため、同社は社内のウォレットソフトウェアに特別なチェックを入れたり、取引するプロトコルをより慎重に決めたり、秘密鍵をより安全なストレージシステムに移行したりした。
「そのトレードオフは価値があったのだろうか?「サムはそう考えていたようだ。このような事件が起きた後でも、私たちのやり方を変えようとはしませんでした。このようなリスクテイクはうまくいくように思われる……そうでなくなるまでは」
アラマダはセキュリティよりもスピードを優先
アラメダの元従業員によると、FTXの創設者であるサム・バンクマン・フリードが抱いていた信念に基づき、アラメダはスピードを優先することを重視していたという。
このアプローチにより、同社はしばしば業界標準のエンジニアリングや会計慣行を見過ごすことになった
。
このため、コードテストは事実上行われず、バランス会計も不完全だった。
取引の安全性チェックは必要に応じて追加されるだけだった。
ブロックチェーンの秘密鍵と取引所のAPIキーは、複数の従業員がアクセス可能なファイルに平文で保存されていた
– Adi (e/acc) (@aditya_baradwaj) 2023年10月11日
バラドワジ氏によると、コードテストは事実上存在せず、取引の安全性チェックは必要と判断された場合にのみ実施された。
「これらの決断のおかげで、私たちは息をのむようなスピードで前進することができました。シリコンバレーのソフトウェア・エンジニアなら涙を流して喜ぶような開発者の速度です」とバラドワジは書いている。「しかし、このトレードオフの裏返しとして、数カ月に一度は大きなセキュリティ・インシデントが発生することになった。
バラドワジの発言は、アラメダ社のキャロライン・エリソン元CEOが、ニューヨークでの詐欺裁判の6日目に、バンクマン・フリード社に対する証言の証言台に立ったことによる。
彼女は、中国政府によって凍結された10億ドル相当の資金を取り戻すために、アラメダの元共同CEOがタイのセックスワーカーを利用したことなど、同社とFTXとの関係について、より多くの光を当てている
。