Nawala ang Alameda ng Halos $200M sa Phishing Attacks, Sabi ng Ex-Engineer

Inaasahan mong masisiguro ng malalaking pangalan ng mga mangangalakal ang mataas na antas ng seguridad at mga hakbang para maprotektahan laban sa mga pag-atake at pag-hack ng phishing, na parehong sumasalot sa Crypto ecosystem.

Ngunit hindi ang Alameda Research. Nawalan ng hindi bababa sa $200 milyon ang naliligalig na Sam Bankman-Fried run trading company sa iba't ibang pangkaraniwang attack vectors na nagpapatakbo ng amok sa industriya, ayon sa mga bagong claim na ginawa ng dating empleyado na si Aditya Baradwaj.

"Naniniwala ang SBF na ang nag-iisang pinakamahalagang bagay para sa isang startup tulad ng Alameda o FTX ay nakakagalaw nang napakabilis," post ni Baradwaj sa social app X kanina. "Nangangahulugan ito na halos walang pagsubok sa code at hindi kumpletong accounting ng balanse."

"Ang mga pribadong key ng Blockchain at mga exchange API key ay inimbak sa plaintext sa isang file na maaaring ma-access ng ilang empleyado," dagdag ni Baradwaj. Na-verify ng CoinDesk na si Baradwaj ay isang empleyado ng Alameda sa pamamagitan ng pagrepaso sa mga payslip na ibinigay niya.

Nawala ang Alameda ng $40 milyon sa pamamagitan ng pagsasaka ng ani sa isang “bagong blockchain ng kaduda-dudang pagiging lehitimo,” kung saan ang tagalikha ng network ay humawak sa mga pondo ng kumpanya. Sumunod ang mga buwan ng negosasyon, ngunit hindi malinaw kung nabawi sa wakas ang mga pondong ito.

Ang pagsasaka ng ani ay isang popular na paraan upang makakuha ng mga reward sa pamamagitan ng pagbibigay ng mga token sa isang pinansiyal na aplikasyon sa isang blockchain. Gayunpaman, maaaring i-block ng mga application na binuo ng mga malisyosong aktor ang mga withdrawal pagkatapos makaakit ng malaking halaga ng kapital – humahantong sa mga pagkalugi.

Isa pang panlilinlang sa seguridad ang naganap kapag ang mga pribadong key, o isang password sa isang secure na imbakan ng Crypto , ay na-leak "malamang ng isang dating empleyado." Ang pag-atake ay nagkakahalaga ng Alameda ng mahigit $50 milyon sa iba't ibang token.

Gayunpaman, ang pinakamalaking hit ay isang $100 milyon na pagkalugi pagkatapos na malinlang si Alameda sa pag-click sa isang pekeng LINK sa phishing sa Google Ads. Ang pekeng LINK ay malamang na ginagaya ang isang DeFi protocol at na-promote sa tuktok ng mga paghahanap sa Google.

Baradwaj ipinahayag na ang mga pangyayaring ito ay ilan lamang mula sa malawak na hanay ng mga kawalan ng seguridad sa Alameda.

Sa kamakailang inilabas na talambuhay ni Michaels Lewis ng Bankman-Fried, ito ay inaangkin ang nagtatag nawalan ng hindi bababa sa $500,000 araw-araw noong mga unang araw ng Alameda at minsang naiwala ang mahigit $4 milyon na halaga ng mga token ng XRP .

Sama-sama, ipinapakita ng mga pagkalugi na ito ang maluwag na mga kasanayan sa seguridad sa Alameda at ang maliwanag na kapabayaan ng mga empleyado. Naiwasan sana ang bawat isa sa mga pag-atakeng ito kung ang mga pribadong key ay naimbak nang mas ligtas at kung ang mga transaksyon sa DeFi ay maingat na sinusuri bago ilipat ang milyun-milyong dolyar sa kapital.

Ang mga nasabing pagkalugi ay hindi limitado sa Alameda. Ang iba pang kumpanya ng Bankman-Fried, ang Crypto exchange FTX, ay nawalan ng mahigit $400 milyon sa ilang sandali matapos ideklara ang pagkabangkarote noong Nobyembre 2022. Ang sanhi ng pag-atake ay nahayag na hindi magandang pamamahala ng pribadong key – na maaaring magkaroon ng kahit na nagkakahalaga ang kompanya ng pataas ng $1 bilyon.