알라메다리서치 전 엔지니어, 회사 보안 과실로 1.9억 달러의 손실이 발생했다고 폭로

전 알라메다리서치 소프트웨어 엔지니어인 아디타야 바라드와즈(Aditya Baradwaj)는 12일 소셜 미디어에 “샘 뱅크먼 프리드(SBF, FTX 전 CEO)가 공동 설립한 거래 회사 알라메다리서치가 피싱 링크를 클릭해 1억 달러의 손실을 입었다”고 공개했다.

바라드와즈는 회사가 보안 소홀로 수백만 달러를 잃은 것은 이번이 처음이 아니라고 말했다. 그는 또한 회사의 총 손실이 최소 1억 9000만 달러(약 2545억원)에 달하는 두 가지 추가 사건을 자세히 설명했다. (이외 더 있는 듯)

디파이 일드파밍에서 사기로 4000만 달러 자금이 묶여 협상 벌인 일과 일반 텍스트 키 파일이 유출된 후 공격자가 일부 거래소에서 자금을 이체하고 잘못된 주문을 하여 5000만 달러 손실. 그는 “FTX가 붕괴되었을 때 유동 자산의 90% 이상 잃었다”고 전했다.

그는 “SBF는 알라메다와 같은 스타트업에서는 빠른 의사 결정이 가장 중요한 것으로 여겼다. 그래서 그는 기술 회사와 금융 기관에서 표준으로 간주되는 엔지니어링 및 회계 관행을 무시하기로 결정했다”며 “회사가 코드 테스트를 거의 수행하지 않아 잔액 회계가 불안전했다. 또한 거래에 대한 안전 확인은 필요한 경우에만 거래 보안 검사를 추가하여 보안 위험을 증가시켰다”고 지적했다.

또한 “블록체인 개인 키와 거래소 API 키는 여러 직원이 접근할 수 있는 파일에 일반 텍스트로 그냥 저장되어 있었다”고 덧붙였다.

Incident #1:

An Alameda trader got phished while trying to complete a DeFi transaction by accidentally clicking a fake link that had been promoted to the top of Google Search results

Cost: $100M+

Postmortem: Implemented extra checks on our internal wallet software
— Adi (e/acc) (@aditya_baradwaj) October 11, 2023