Các phương pháp bảo mật kém cỏi đã trở thành đặc điểm của người tiền nhiệm của tập đoàn giao dịch tiền điện tử trướng kia.
Người ta có thể mong đợi các nhà giao dịch nổi tiếng đảm bảo mức độ bảo mật cao và áp dụng các biện pháp để bảo vệ khỏi các cuộc tấn công lừa đảo và hack, cả hai điều này đang gây rối cho hệ sinh thái tiền điện tử.
Nhưng không phải với Alameda Research. Công ty giao dịch do Sam Bankman-Fried điều hành, đã mất ít nhất 200 triệu đô la do một loạt các vector tấn công phổ biến chảy lan trong ngành công nghiệp, theo những tuyên bố mới của cựu nhân viên Aditya Baradwaj.
“SBF tin rằng điều quan trọng nhất đối với một startup như Alameda hoặc FTX là khả năng di chuyển rất, rất nhanh,” Baradwaj viết trên ứng dụng mạng xã hội X sáng nay. “Điều này đồng nghĩa với việc hầu như không có kiểm tra mã và kiểm toán tài khoản không hoàn chỉnh.”
“Các khóa riêng tư của blockchain và các khóa API của sàn giao dịch được lưu trữ trong văn bản thuần túy mà một số nhân viên có thể truy cập,” Baradwaj thêm. CoinDesk đã xác minh rằng Baradwaj đã làm việc cho Alameda bằng cách xem xét biên lai lương mà anh ấy cung cấp.
Alameda mất 40 triệu đô la bằng cách tạo ra lợi nhuận từ việc cung cấp token cho một “blockchain mới có tính hợp pháp đang bị nghi ngờ,” trong đó người sáng lập mạng lưới đã giam giữ tài sản của công ty. Sau đó, đã có nhiều tháng đàm phán, nhưng chưa rõ liệu các tài sản này đã được phục hồi cuối cùng hay chưa.
These decisions allowed us to move at breathtaking speed. Developer velocity that would make any Silicon Valley software engineer shed tears of joy
However the flip side of this tradeoff was that we'd have a major security incident once every few months:
— Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Yield farming là cách phổ biến để kiếm phần thưởng bằng cách cung cấp token cho một ứng dụng tài chính trên mạng blockchain. Tuy nhiên, các ứng dụng do các bên thứ ba xây dựng có thể chặn rút tiền sau khi thu hút một lượng vốn đáng kể, dẫn đến mất mát.
Lỗi bảo mật khác xảy ra khi khóa riêng tư, hoặc mật khẩu để truy cập lưu trữ tiền điện tử an toàn, bị rò rỉ “có thể do một người cũ,”. Cuộc tấn công đã làm mất cho Alameda hơn 50 triệu đô la trong các token khác nhau.
Tuy nhiên, mất nhiều nhất là khi Alameda đã bị lừa bằng cách nhấp vào một liên kết lừa đảo giả trên quảng cáo Google. Liên kết giả mạo này có lẽ đã mô phỏng một giao thức DeFi và đã được quảng cáo lên đầu trong kết quả tìm kiếm Google.
Baradwaj cho biết rằng những sự kiện này chỉ là một số trong loạt lỗ hổng bảo mật rộng lớn tại Alameda.
Những thất thoát này cùng thể hiện việc áp dụng bảo mật kém cỏi tại Alameda và sự bất cẩn rõ ràng của nhân viên. Mỗi cuộc tấn công này có thể đã được tránh nếu khóa riêng tư được lưu trữ an toàn hơn và nếu các giao dịch DeFi được kiểm tra cẩn thận trước khi chuyển hàng triệu đô la vốn.
Những thất thoát này không giới hạn ở Alameda mà còn mở rộng đến công ty trao đổi tiền điện tử FTX của Bankman-Fried, đã mất hơn 400 triệu đô la ngay sau khi tuyên bố phá sản vào tháng 11 năm 2022. Nguyên nhân của cuộc tấn công đã được tiết lộ là quản lý khóa riêng tư kém cỏi, có thể đã gây mất mát cho công ty lên đến hơn 1 tỷ đô la.