前 Alameda Research 软件工程师 Aditya Baradwaj 在 X(Twitter 的前身)上又发表了一篇长文,揭露了 FTX 的姊妹基金如何应对多起安全事件,最终损失了至少 1.9 亿美元的交易资金。
据报道,Baradwaj 详细描述的最重大漏洞之一涉及 Alameda 的一名交易员,他损失了该公司超过 1 亿美元的资金。
事件发生时,该交易员点击了一个被推广到谷歌搜索结果顶部的 DeFi 应用程序的恶意链接。
TCN 联系了 Baradwaj,希望他能发表更多评论,如果有回复,我们将及时更新文章。
Baradwaj 提到的另一个例子是 Alameda 参与了一个 “合法性存疑 “的区块链上的产量农业。这次冒险导致的损失超过了 4000 万美元,因为 “创建者最终扣押了我们的资金作为人质,我们进行了长达数月的谈判。”
事件一:
阿拉米达的一名交易员在试图完成 DeFi 交易时,无意中点击了一个被推广到谷歌搜索结果顶部的虚假链接,从而被钓鱼网站钓鱼。
损失:1 亿多美元
事后分析: 对我们的内部钱包软件实施额外检查
– Adi (e/acc) (@aditya_baradwaj) 2023年10月11日
据巴拉德瓦伊称,另一起事件是阿拉米达公司的旧版明文密钥文件泄露,据说是一名前员工所为。这导致攻击者将资金从一些交易所转出,并下了错误的订单,Alameda 又损失了 5000 万美元。
“巴拉德瓦伊说:”这只是几个事件,还有很多,包括我在公司工作之前发生的事件。
针对上述事件,公司只是对内部钱包软件进行了额外检查,决定对交易协议更加谨慎,或将密匙转移到更安全的存储系统。
“巴拉德瓦伊问道:”这样做值得吗?”萨姆似乎认为值得。即使在所有这些事件发生之后,我们也没有认真尝试改变我们的运营方式。这种冒险似乎很有效……直到它不起作用。”
阿拉马达推动速度而非安全
据这位阿拉马达前员工称,这家交易公司非常重视速度,FTX创始人山姆-班克曼-弗里德(Sam Bankman-Fried)也是这么认为的。
这种做法常常导致公司忽视行业标准的工程和会计实践。
这意味着几乎没有代码测试和不完整的余额核算
交易安全检查仅在需要时才添加
区块链私钥和交易所API密钥以明文形式存储在一个文件中,多名员工都可以访问
– Adi (e/acc) (@aditya_baradwaj) 2023年10月11日
。
巴拉德瓦伊认为,代码测试几乎不存在,只有在认为必要时才会对交易进行安全检查。
“这些决定使我们能够以惊人的速度前进。开发人员的速度会让任何硅谷软件工程师喜极而泣,”巴拉德瓦伊写道。”然而,这种权衡的另一面是,我们每隔几个月就会发生一次重大安全事故。
在巴拉德瓦伊发表这番言论的同时,阿拉米达公司前首席执行官卡罗琳-埃里森(Caroline Ellison)在纽约对班克曼-弗里德的欺诈案进行审判的第六天出庭作证。
她进一步揭露了公司与 FTX 的关系,包括 Alameda 前联席首席执行官为追回被中国政府冻结的价值 10 亿美元的资金而与泰国性工作者进行的交易。
