В очередном длинном сообщении на сайте X (ранее известном как Twitter) бывший инженер-программист Alameda Research Адитья Барадвадж (Aditya Baradwaj) рассказал о том, как родственный фонд FTX столкнулся с многочисленными инцидентами безопасности, в результате чего потерял не менее 190 млн. долл. торговых средств.
Один из наиболее значительных инцидентов, о котором рассказал Барадвадж, связан с потерей трейдером Alameda более 100 млн. долл.
Инцидент произошел после того, как трейдер перешел по вредоносной ссылке на приложение DeFi, которое было выведено на первое место в результатах поиска Google.
TCN обратился к Барадваджу за дополнительными комментариями и обновит статью, если получит ответ.
Другой пример, приведенный Барадваджем, связан с участием Alameda в выращивании урожая на блокчейне «сомнительной легитимности». Это предприятие привело к убыткам, превышающим 40 млн долларов, поскольку «создатель в итоге стал заложником наших средств, и мы провели несколько месяцев длительных переговоров»
Инцидент № 1:
Трейдер из Аламеды, пытаясь совершить сделку с DeFi, случайно перешел по поддельной ссылке, которая была выведена на первое место в результатах поиска Google.
Стоимость: $100M+
После смерти: Внедрили дополнительные проверки в программное обеспечение нашего внутреннего кошелька
— Adi (e/acc) (@aditya_baradwaj) Октябрь 11, 2023
По словам Барадваджа, в результате другого инцидента произошла утечка старой версии файла открытых ключей компании Alameda, предположительно, от бывшего сотрудника. В результате злоумышленник вывел средства с некоторых бирж и выставил некачественные ордера, в результате чего Alameda потеряла еще 50 млн. долл.
«Это лишь несколько инцидентов — их гораздо больше, в том числе и за время моей работы в компании», — сказал Барадвадж.
В ответ на эти инциденты компания просто ввела дополнительные проверки в программное обеспечение внутреннего кошелька, решила более тщательно подходить к выбору протоколов для торговли или переместила секретные ключи в более надежную систему хранения.
«Стоил ли этот компромисс того?» — спрашивает Барадвадж. «Сэм, конечно, считает, что да. Даже после всех этих инцидентов не было предпринято никаких серьезных попыток изменить наши методы работы. Это тот вид риска, который, кажется, работает… пока не работает».
Alamada ставит скорость выше безопасности
По словам бывшего сотрудника Alameda, торговая компания уделяла большое внимание приоритету скорости, чего придерживался основатель FTX Сэм Бэнкман-Фрид.
Такой подход часто приводил к тому, что компания пренебрегала стандартными для отрасли инженерными и бухгалтерскими практиками.
Это означало практически полное отсутствие тестирования кода и неполный учет баланса.
Проверки безопасности торговли добавлялись только по мере необходимости
Закрытые ключи блокчейна и API-ключи биржи хранились в открытом виде в файле, к которому могли получить доступ несколько сотрудников
— Adi (e/acc) (@aditya_baradwaj)Октябрь 11, 2023
Тестирование кода, по словам Барадваджа, практически не проводилось, а проверки безопасности торговли осуществлялись только тогда, когда это считалось необходимым.
«Эти решения позволили нам двигаться с головокружительной скоростью. Скорость разработчиков, которая заставила бы любого инженера-программиста из Силиконовой долины прослезиться от радости», — пишет Барадвадж. «Однако обратной стороной такого компромисса было то, что раз в несколько месяцев у нас случались крупные инциденты, связанные с безопасностью».
Высказывания Барадваджа прозвучали в тот момент, когда бывший генеральный директор Alameda Кэролайн Эллисон дала показания против Банкмана-Фрида на шестой день судебного процесса по делу о мошенничестве в Нью-Йорке.
Она пролила свет на отношения фирмы с FTX, в том числе на то, что бывший исполнительный директор Alameda использовал тайских секс-работниц в попытке вернуть средства в размере 1 млрд. долларов, замороженные китайским правительством.
