Ünlü trader’ların kripto ekosisteminin başına bela olan kimlik avı saldırılarına ve hacker’lara karşı koruma sağlamak adına yüksek düzeyde güvenlik önlemleri almasını bekleyebilirsiniz.
Anlaşılan Alameda Research’te durum böyle değildi. Alameda’nın eski mühendislerinden Aditya Baradwaj’ın iddiasına göre Sam Bankman-Fried tarafından yönetilen şirket, sektörde yaygın olarak görülen bu saldırılarla en az 200 milyon dolar kaybetti.
Baradwaj, Twitter paylaşımında şunları söyledi:
Baradwaj, “Blokzincir özel anahtarları ve borsa API anahtarları, birkaç çalışanın daha erişebileceği bir dosyada saklanıyordu.” diye ekledi. CoinDesk, maaş bordrolarını inceleyerek Baradwaj’ın bir Alameda çalışanı olduğunu doğruladı.
Alameda, ağın geliştiricisinin şirketin fonlarını rehin tuttuğu “meşruiyeti şüpheli yeni bir blokzincir” üzerinde “yield farming” yaparak 40 milyon dolar kaybetti. Aylarca süren tartışmalar sonrasında bu fonların geri alınıp alınmadığı ise belli değil.
“Yield farming”, bir blokzincirdeki bir finansal uygulamaya token sağlayarak ödül kazanmanın popüler bir yoludur. Bununla birlikte kötü niyetli kullanıcılar tarafından oluşturulan uygulamalar, büyük miktarda sermaye toplandıktan sonra para çekme işlemlerini engelleyebilir ve bu da kayıplara yol açabilir.
Diğer bir güvenlik sorunu, “muhtemelen eski bir çalışanın” özel anahtarları sızdırmasıyla yaşandı. Saldırı, Alameda’nın 50 milyon doların üzerinde zarar etmesine sebep oldu.
Ancak en büyük darbe, Alameda’nın Google (GOOGL) Ads sanarak tıkladığı bir bağlantı sonucu kimlik avı saldırısına uğramasıyla görüldü. Olayla birlikte şirket 100 milyon dolar değerinde kayıp yaşadı. Sahte bağlantı bir DeFi protokolünü taklit ediyordu ve Google aramalarında üste çıkması için reklam verilmişti.
Baradwaj, bu olayların Alameda’daki pek çok güvenlik açığından sadece birkaçı olduğunu belirtti.
Michaels Lewis‘in yazdığı yakın zamanda yayımlanan Bankman-Fried biyografisinde, kurucunun Alameda’nın ilk günlerinde her gün en az 500 bin dolar kaybettiği ve hatta bir keresinde yaklaşık 4 milyon dolar değerinde XRP token’ının yanlış adrese gönderildiği iddia ediliyor.
Tüm bunlar bir araya geldiğinde Alameda’daki yetersiz güvenlik operasyonları ve çalışanların kayıtsızlığı öne çıkıyor. Sonuç olarak özel anahtarlar daha güvenli bir şekilde saklansaydı ve DeFi işlemleri milyonlarca dolarlık sermayeyi taşımadan önce dikkatlice incelenseydi, bu saldırıların her biri önlenebilirdi.
Bu makale ilk olarak CoinDesk Türkiye üzerinde yayımlanmıştır.