In weer een lange thread op X (voorheen bekend als Twitter) onthulde voormalig software-engineer Aditya Baradwaj van Alameda Research hoe FTX’s zusterfonds worstelde met meerdere beveiligingsincidenten, waarbij uiteindelijk minstens $190 miljoen aan handelsfondsen verloren ging.
Een van de meest significante exploits die Baradwaj beschreef, betrof naar verluidt een handelaar bij Alameda die meer dan $100 miljoen aan fondsen van het bedrijf verloor.
Het incident deed zich voor toen de handelaar op een kwaadaardige link klikte voor een DeFi-app die bovenaan de Google-zoekresultaten stond.
TCN heeft Baradwaj om aanvullend commentaar gevraagd en zal het artikel bijwerken zodra we van hem horen.
Een ander voorbeeld dat Baradwaj aanhaalde ging over Alameda’s betrokkenheid bij opbrengstlandbouw op een blockchain van “twijfelachtige legitimiteit”. Deze onderneming resulteerde in verliezen van meer dan $40 miljoen, omdat “de maker uiteindelijk onze fondsen gegijzeld hield en we maandenlange onderhandelingen hadden.”
1:
Een handelaar uit Alameda werd gephisht toen hij een DeFi-transactie probeerde te voltooien door per ongeluk op een valse link te klikken die bovenaan de Google-zoekresultaten was geplaatst.
Kosten: $100M+
Postmortem: Extra controles geïmplementeerd op onze interne portemonneesoftware
– Adi (e/acc) (@aditya_baradwaj) Oktober 11, 2023
Bij een ander incident lekte volgens Baradwaj een oude versie van Alameda’s sleutels in platte tekst, vermoedelijk door een voormalige werknemer. Dit leidde ertoe dat de aanvaller geld overboekte van sommige beurzen en slechte orders plaatste, waarbij Alameda nog eens $50 miljoen verloor.
“Dit zijn maar een paar incidenten, er zijn er nog veel meer, ook van voor mijn tijd bij het bedrijf,” zei Baradwaj.
Als reactie op de bovenstaande incidenten implementeerde het bedrijf simpelweg extra controles op zijn interne portemonneesoftware, besloot het voorzichtiger te zijn met welke protocollen het handelde of migreerde het geheime sleutels naar een veiliger opslagsysteem.
“Was de ruil het waard?” vroeg Baradwaj. “Sam leek er zeker zo over te denken. Zelfs na al deze incidenten werd er geen serieuze poging gedaan om de manier waarop we werkten te veranderen. Het is het soort risico’s nemen dat lijkt te werken… totdat het niet meer werkt.”
Alamada verkiest snelheid boven veiligheid
Volgens de voormalige werknemer van Alameda legde het handelsbedrijf veel nadruk op snelheid, een overtuiging van FTX-oprichter Sam Bankman-Fried.
Deze aanpak leidde er vaak toe dat het bedrijf de standaard technische en boekhoudkundige praktijken in de sector over het hoofd zag.
Dit betekende vrijwel geen testen van code en een onvolledige balansboekhouding.
Veiligheidscontroles voor de handel zouden alleen op een as-nodig basis worden toegevoegd
De privésleutels van de blockchain en de API-sleutels van de beurs werden in platte tekst opgeslagen in een bestand waar meerdere werknemers toegang toe hadden
– Adi (e/acc) (@aditya_baradwaj) Oktober 11, 2023
Volgens Baradwaj was het testen van codes vrijwel onbestaand en werden veiligheidscontroles voor de handel alleen geïmplementeerd wanneer dat nodig werd geacht.
“Deze beslissingen stelden ons in staat om adembenemende snelheden te halen. Ontwikkelaarssnelheid die elke software-ingenieur in Silicon Valley tranen van vreugde zou bezorgen,” schreef Baradwaj. “De keerzijde van deze afweging was echter dat we eens in de paar maanden een groot beveiligingsincident hadden.”
Baradwaj’s opmerkingen komen op het moment dat Caroline Ellison, voormalig CEO van Alameda, in de getuigenbank plaatsnam om te getuigen tegen Bankman-Fried op de zesde dag van zijn fraudeproces in New York.
Ze wierp meer licht op de relaties van het bedrijf met FTX, inclusief de voormalige co-CEO van Alameda die Thaise sekswerkers afluisterde in een poging om $1 miljard aan fondsen terug te krijgen die door de Chinese overheid waren bevroren.
