Em mais um longo tópico no X (anteriormente conhecido como Twitter), o ex-engenheiro de software da Alameda Research, Aditya Baradwaj, revelou como o fundo irmão da FTX enfrentou vários incidentes de segurança, perdendo pelo menos US $ 190 milhões em fundos de negociação.
Uma das explorações mais significativas descritas por Baradwaj terá envolvido um operador da Alameda que perdeu mais de 100 milhões de dólares dos fundos da empresa.
O incidente ocorreu quando o operador clicou numa ligação maliciosa para uma aplicação DeFi que tinha sido promovida ao topo dos resultados da pesquisa do Google.
A TCN entrou em contacto com Baradwaj para obter comentários adicionais e actualizará o artigo se tivermos resposta.
Outro exemplo citado por Baradwaj girava em torno do envolvimento da Alameda na agricultura de rendimento em um blockchain de “legitimidade questionável”. Este empreendimento resultou em perdas superiores a 40 milhões de dólares, uma vez que “o criador acabou por manter os nossos fundos como reféns e tivemos meses de negociações prolongadas. “
Incidente 1:
Um comerciante da Alameda foi vítima de phishing ao tentar concluir uma transação DeFi, clicando acidentalmente numa hiperligação falsa que tinha sido promovida para o topo dos resultados da Pesquisa Google
Custo: $100M+
Pós-morte: Implementámos verificações adicionais no nosso software de carteira interno
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Ainda de acordo com Baradwaj, um outro incidente terá sido a fuga de uma versão antiga do ficheiro de chaves de texto simples da Alameda, supostamente por um antigo funcionário. O resultado foi que o atacante transferiu fundos de algumas bolsas e colocou ordens erradas, com a Alameda a perder mais 50 milhões de dólares.
“Estes são apenas alguns incidentes – há muitos mais, incluindo de antes do meu tempo na empresa”, disse Baradwaj.
Em resposta aos incidentes acima referidos, a empresa simplesmente implementou verificações adicionais no seu software interno de carteiras, decidiu ser mais cuidadosa quanto aos protocolos em que estava a negociar ou migrou as chaves secretas para um sistema de armazenamento mais seguro.
“A troca valeu a pena?”, perguntou Baradwaj. “O Sam parecia pensar que sim. Mesmo depois de todos estes incidentes, não foi feita nenhuma tentativa séria de mudar a forma como operávamos. É o tipo de risco que parece funcionar… até não funcionar. “
Alamada privilegia a velocidade em detrimento da segurança
De acordo com o ex-funcionário da Alameda, a empresa de trading dava grande importância à velocidade, uma crença do fundador da FTX, Sam Bankman-Fried.
Esta abordagem levou muitas vezes a empresa a ignorar as práticas de engenharia e contabilidade padrão da indústria.
Isto significava praticamente nenhum teste de código e uma contabilidade incompleta
As verificações de segurança para a negociação só seriam adicionadas quando necessário
As chaves privadas da blockchain e as chaves da API da bolsa eram armazenadas em texto simples num ficheiro a que vários funcionários podiam aceder
– Adi (e/acc) (@aditya_baradwaj) October 11, 2023
De acordo com Baradwaj, os testes de código eram praticamente inexistentes e as verificações de segurança para negociação eram implementadas apenas quando consideradas necessárias.
“Estas decisões permitiram-nos avançar a uma velocidade estonteante. Velocidade de desenvolvimento que faria qualquer engenheiro de software de Silicon Valley derramar lágrimas de alegria”, escreveu Baradwaj. “No entanto, o outro lado desta troca era o facto de termos um incidente de segurança grave de poucos em poucos meses.”
As observações de Baradwaj surgem no momento em que Caroline Ellison, antiga diretora-geral da Alameda, toma a palavra para testemunhar contra Bankman-Fried no sexto dia do seu julgamento por fraude em Nova Iorque.
Ellison esclareceu melhor as relações da empresa com a FTX, incluindo o facto de o antigo co-CEO da Alameda ter enganado trabalhadoras do sexo tailandesas numa tentativa de recuperar mil milhões de dólares de fundos congelados pelo governo chinês.
