在X(前身为推特)上的另一个长帖子中,前阿拉米达研究公司软件工程师Aditya Baradwaj透露了FTX的姊妹基金如何应对多起安全事件,最终损失了至少1.9亿美元的交易基金。
据报道,Baradwaj详细描述的最重大的漏洞之一涉及阿拉米达的一名交易员损失了该公司超过1亿美元的资金。
当交易员点击DeFi应用程序的恶意链接时,事件发生了,该应用程序已被提升到谷歌搜索结果的首位。
_Decrypt_联系Baradwaj寻求更多评论,如果我们收到回复,将更新文章。
Baradwaj引用的另一个例子围绕着阿拉米达在一个“合法性可疑”的区块链上参与产量养殖。这家合资企业导致了超过4000万美元的损失,因为“创作者最终劫持了我们的资金,我们进行了数月的长时间谈判。”
事件#1:
阿拉米达的一名交易员在试图完成DeFi交易时,意外点击了一个被提升到谷歌搜索结果顶部的虚假链接,从而被钓鱼
成本:1亿美元+
Postportem:对我们的内部钱包软件进行了额外检查
——Adi(e/acc)(@aditya_baradwaj)2023年10月11日
据Baradwaj称,据报道,在另一起事件中,阿拉米达的明文密钥文件的旧版本被泄露,据称是由一名前员工泄露的。这导致攻击者从一些交易所转移资金并下了不良订单,阿拉米达又损失了5000万美元。
Baradwaj说:“这只是几起事件,还有更多,包括我在公司任职之前的事件。”。
为了应对上述事件,该公司只是对其内部钱包软件进行了额外的检查,决定更小心地使用哪些协议进行交易,或者将密钥迁移到更安全的存储系统。
巴拉德瓦问道:“这个交易值得吗?”。“山姆似乎确实这么认为。即使在发生了所有这些事件之后,也没有认真尝试改变我们的运营方式。这种冒险行为似乎奏效了……直到失败。”
FTX,泰国妓女和中国贿赂:Caroline Ellison放弃爆炸指控
阿拉马达将速度凌驾于安全之上
据这位前阿拉米达员工说,这家贸易公司非常注重速度优先,这是FTX创始人Sam Bankman Fried的信念。
这种方法经常导致该公司忽视行业标准的工程和会计实践。
这意味着几乎没有代码测试和不完整的余额核算
交易的安全检查只会在需要的基础上增加
区块链私钥和交换API密钥以明文形式存储在一个文件中,几个员工可以访问
——Adi(e/acc)(@aditya_baradwaj)2023年10月11日
Baradwaj表示,代码测试几乎不存在,只有在认为必要时才对交易进行安全检查。
Baradwaj写道:“这些决定让我们以惊人的速度前进。开发者的速度会让任何硅谷软件工程师喜极而泣。”。“然而,这种权衡的另一面是,我们每隔几个月就会发生一次重大安全事件。”
巴拉德瓦发表上述言论之际,阿拉米达前首席执行官卡罗琳·埃里森在纽约对班克曼·弗里德进行欺诈审判的第六天出庭作证。
她进一步阐明了该公司与FTX的关系,包括阿拉米达前联合首席执行官利用泰国性工作者,以收回被中国政府冻结的价值10亿美元的资金。