前工程師揭露Alameda出包事件:玩DeFi被Rug,遭假網址騙走1億美元
FTX 旗下交易機構 Alameda Research 的前工程師 Aditya Baradwaj (Adi),繼此前透露將逐步講述 Alameda 的故事後,他發佈了第三篇文章《The Hacks》,提到 Alameda 在 DeFi 領域的出包事件。
(回顧 Adi:揭示SBF真面目:一位Alameda工程師的真實經歷,FTX曾有哪些不負責任現象?)
Alameda 迅速發展的關鍵:拋開資安、會計標準
Adi 指出,自FTX/Alameda 倒閉以來,出現大量關於兩家機構風控不善的報導,現任執行長 John Ray 更以「前所未見的糟糕」來形容。
廣告 - 內文未完請往下捲動
那麼究竟多糟糕?
SBF 曾認為對 Alameda、FTX 而言,迅速發展是最重要的事,因此決定忽視金融科技公司標準的工程代碼、會計規範。
這確實讓他們以驚人速度前進,但缺點是,他們每隔幾個月就會發生一次重大安全事件。Adi 舉例了三項出包事件。
一、交易員點到 Google 搜尋頁面假網址
-
成本:一億美元
-
事後分析:對內部錢包軟體實施額外檢查
一位 Alameda 交易員在執行一項 DeFi 交易時,不小心點到在 Google 搜尋頁面名列第一的假網址,並遭到網路釣魚。
二、玩流動性挖礦被 Rug
-
成本:4,000 萬美元
-
事後分析:對於公鏈、協議的選擇更加謹慎
Alameda 在合法性存疑的新公鏈進行流動性挖礦,結果遭開發團隊扣押資金,並持續了長達好幾個月的談判。
三、API 金鑰遭洩露
-
成本:5,000 萬美元
-
事後分析:將金鑰移至更安全的儲存系統
攻擊者自交易所強制出金以盜取資產,並設置糟糕的交易訂單。
Adi 認為很可能是前員工洩露的。
Alameda 還有更多出包事件
Adi 指出在他加入 Alameda 前就有許多出包事件,例如 MobileCoin,FTX 也有類似情事。
(知情人士:FTX上交易員對MobileCoin槓桿交易,導致FTX虧損高達10億美元)
SBF 為了迅速發展而犧牲了風控,且即便資安事件頻發,他似乎也不打算改變內部的運作方式。
Adi 在文末評論:
這樣的冒險方式似乎是有效的,在它被證明行不通之前。
