W kolejnym długim wątku na X (dawniej znanym jako Twitter), były inżynier oprogramowania Alameda Research, Aditya Baradwaj, ujawnił, w jaki sposób siostrzany fundusz FTX zmagał się z wieloma incydentami bezpieczeństwa, ostatecznie tracąc co najmniej 190 milionów dolarów w funduszach handlowych.
Jeden z najbardziej znaczących exploitów opisanych przez Baradwaja podobno dotyczył tradera w Alameda, który stracił ponad 100 milionów dolarów z funduszy firmy.
Incydent miał miejsce, gdy trader kliknął złośliwy link do aplikacji DeFi, która była promowana na szczycie wyników wyszukiwania Google.
TCN skontaktował się z Baradwajem w celu uzyskania dodatkowych komentarzy i zaktualizuje artykuł, jeśli otrzymamy odpowiedź.
Inny przykład przytoczony przez Baradwaja dotyczył zaangażowania Alamedy w hodowlę plonów na blockchainie o „wątpliwej legalności”. Przedsięwzięcie to przyniosło straty przekraczające 40 milionów dolarów, ponieważ „twórca skończył trzymając nasze fundusze jako zakładników, a my mieliśmy miesiące przedłużających się negocjacji.”
Incydent 1:
Trader z Alamedy został wyłudzony podczas próby sfinalizowania transakcji DeFi poprzez przypadkowe kliknięcie fałszywego linku, który był promowany na szczycie wyników wyszukiwania Google.
Koszt: ponad 100 milionów dolarów
Podsumowanie: Wdrożyliśmy dodatkowe kontrole w naszym wewnętrznym oprogramowaniu portfela
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Jeszcze inny incydent podobno spowodował wyciek starej wersji pliku kluczy tekstowych Alameda, rzekomo przez byłego pracownika, według Baradwaj. Spowodowało to, że atakujący przeniósł środki z niektórych giełd i złożył złe zamówienia, a Alameda straciła kolejne 50 milionów dolarów.
„To tylko kilka incydentów – jest ich znacznie więcej, w tym sprzed mojego pobytu w firmie” – powiedział Baradwaj.
W odpowiedzi na powyższe incydenty firma po prostu wdrożyła dodatkowe kontrole w swoim wewnętrznym oprogramowaniu portfela, postanowiła być bardziej ostrożna w kwestii protokołów, na których handluje, lub przeniosła tajne klucze do bezpieczniejszego systemu przechowywania.
„Czy ten kompromis był tego wart?” – zapytał Baradwaj. „Sam z pewnością tak uważał. Nawet po tych wszystkich incydentach nie podjęto żadnej poważnej próby zmiany sposobu, w jaki działaliśmy. To rodzaj podejmowania ryzyka, który wydaje się działać… dopóki nie przestanie.”
Alamada przedkłada szybkość nad bezpieczeństwo
Według byłego pracownika Alameda, firma handlowa kładła duży nacisk na priorytetowe traktowanie szybkości, w co wierzył założyciel FTX Sam Bankman-Fried.
Takie podejście często prowadziło firmę do pomijania standardowych praktyk inżynieryjnych i księgowych.
Oznaczało to praktycznie brak testowania kodu i niekompletną księgowość bilansową
Kontrole bezpieczeństwa handlu byłyby dodawane tylko w razie potrzeby.
Klucze prywatne blockchain i klucze API giełdy były przechowywane w postaci zwykłego tekstu w pliku, do którego dostęp miało kilku pracowników
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Testowanie kodu, według Baradwaja, praktycznie nie istniało, a kontrole bezpieczeństwa handlu były wdrażane tylko wtedy, gdy uznano to za konieczne.
„Te decyzje pozwoliły nam poruszać się z zapierającą dech w piersiach prędkością. Prędkość deweloperska, która sprawiłaby, że każdy inżynier oprogramowania z Doliny Krzemowej uroniłby łzy radości” – napisał Baradwaj. „Jednak drugą stroną tego kompromisu było to, że raz na kilka miesięcy mieliśmy poważny incydent związany z bezpieczeństwem”.
Uwagi Baradwaja pojawiły się, gdy była dyrektor generalna Alameda, Caroline Ellison, zeznawała przeciwko Bankman-Fried w szóstym dniu jego procesu o oszustwo w Nowym Jorku.
Rzuciła więcej światła na relacje firmy z FTX, w tym na byłego współzarządzającego Alamedą, który podsłuchiwał tajskie pracownice seksualne w celu odzyskania funduszy o wartości 1 miliarda dolarów zamrożonych przez chiński rząd.
