Alameda a vu s’évaporer près de 200 millions de dollars, victime d’arnaques par hameçonnage. Ancien ingénieur chez FTX et Alameda avant leur faillite, Aditya Baradwaj révèle les circonstances de trois épisodes coûteux : hameçonnage, fuite de la seed phrase d’un portefeuille et enfin un rug pull.
Post mortem d’Alameda : 190 millions de fonds perdus sur trois bourdes évitables
Qui est Aditya Baradwaj ? Il s’agit d’un ingénieur américain ayant œuvré au sein d’Alameda entre septembre 2021 et novembre 2022. Aujourd’hui, reconverti en lanceur d’alerte et dirigeant d’une startup, il partage son vécu avec la communauté Twitter, avouant lui-même avoir perdu une bonne partie de ses fonds dans la débâcle de FTX.
Abordons désormais les “hacks” ayant coûté la bagatelle de 190 millions de dollars à Alameda Research. Dans un thread sur X/ Twitter, Aditya évoque trois incidents majeurs, ponctués d’autres épisodes mineurs.
Incident 1, hameçonnage / phishing, 100 millions de dollars perdus :
Un trader d’Alameda a mordu à l’hameçon d’un hacker lors d’une transaction sur la DeFi, en cliquant par mégarde sur un lien frauduleux propulsé en tête des résultats de recherche Google.
Incident 2, arnaque sur un protocole de yield farming, 40 millions de dollars perdus :
Nous avons initié le yield farming sur une blockchain à la légitimité douteuse. Le créateur s’est retrouvé en position de force avec nos fonds en otage, donnant lieu à des mois de négociations interminables (…) “Je suis fortement enclin à penser que la blockchain incriminée est celle de Waves, partageant un mécanisme similaire avec Luna, avec l’usage de l’USDN. Waves a ainsi englouti plus de 500 millions de dollars de dépôts utilisateurs.
Incident 3, fuite de la seed phrase d’un portefeuille, 50 millions de dollars perdus :
Une version obsolète de notre fichier contenant les clés en clair a fuité, probablement du fait d’un ancien employé. L’assaillant a transféré des fonds hors de certaines bourses et a placé des ordres malveillants (…) “Cet incident surpasse en extravagance les précédents, comment pouvait-on conserver des clés dans un fichier en clair, en escomptant qu’aucune fuite ne surviendrait ou qu’aucun employé n’en profiterait ?
Une sécurité inexistante sur les clés privées du fonds spéculatif, stockées sans chiffrement
Il y a d’autres détails qu’Aditya Baradwaj révéle dans son thread intitulé “Les Hacks”. Il souligne par exemple que l’agilité “à couper le souffle” de l’entreprise menait à des “incidents de sécurité majeurs” douloureusement récurrents, sans indiquer lesquels.
On s’attendrait à ce qu’un fonds spéculatif aussi important qu’Alameda Research (plus de 20 milliards de dollars sous gestion) mette en œuvre des mesures de sécurité pointues pour se prémunir contre les attaques par hameçonnage et les piratages, fléaux récurrents de l’écosystème crypto.
Pourtant, à en croire Baradwaj, Alameda reléguait les préoccupations de sécurité complètement au second plan. “SBF était convaincu que la rapidité d’exécution était le maître-mot pour une start-up comme Alameda ou FTX”, explique-t-il. “En conséquence, les tests de code étaient pratiquement inexistants et la comptabilité des soldes, incomplète.”
Il explique le désastre dans la gestion des clés privées donnant accès aux fonds logés dans les portefeuilles de trading d’Alameda sur FTX, et celle des clés API liées à ces comptes. Selon lui, ces clés étaient enregistrées en clair dans un fichier laissé à la portée de nombreux employés sur le serveur de la société.
PART 3: THE HACKS
or
How poor security practices at Alameda Research caused the company to lose hundreds of millions of dollars
(1/n) 🧵#SBF #FTX pic.twitter.com/RFocE7w3Gx
— Adi (e/acc) (@aditya_baradwaj) October 11, 2023
Une telle imprudence ne s’est pas limitée à Alameda. Comme nous vous le rapportions en avril, les ingénieurs du back-office de FTX en faisaient de même, laissant leurs clés sur un serveur Amazon AWS sans chiffrement. Un laxisme qui a permis à un hacker de voler plus de 400 millions de dollars à la bourse crypto peu après son dépôt de faillite en novembre 2022 – un hacker toujours inconnu mais qui vient de déplacer près de 40 millions de dollars (22.500 ETH) après un an sans activité.
Sources : Aditya Baradwj (via X / Twitter)
Sur le même sujet :
- 6ᵉ jour du procès de Sam Bankman-Fried : voici ce que vous devez savoir
- Quand Alameda et SBF avaient créé 39 milliards d’USDT