Accueil Alameda aurait perdu près de 200 millions de dollars à cause d’une sécurité catastrophique
Actualités Crypto-monnaies, Plateformes d'échange, Régulation, Toute l'actualité

Alameda aurait perdu près de 200 millions de dollars à cause d’une sécurité catastrophique

David Rajaonary
Dernière mise à jour :
pdg-alameda-témoignage-procès-sbf
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Alameda a vu s’évaporer près de 200 millions de dollars, victime d’arnaques par hameçonnage. Ancien ingénieur chez FTX et Alameda avant leur faillite, Aditya Baradwaj révèle les circonstances de trois épisodes coûteux : hameçonnage, fuite de la seed phrase d’un portefeuille et enfin un rug pull.

Post mortem d’Alameda : 190 millions de fonds perdus sur trois bourdes évitables

Qui est Aditya Baradwaj ? Il s’agit d’un ingénieur américain ayant œuvré au sein d’Alameda entre septembre 2021 et novembre 2022. Aujourd’hui, reconverti en lanceur d’alerte et dirigeant d’une startup, il partage son vécu avec la communauté Twitter, avouant lui-même avoir perdu une bonne partie de ses fonds dans la débâcle de FTX.

Abordons désormais les “hacks” ayant coûté la bagatelle de 190 millions de dollars à Alameda Research. Dans un thread sur X/ Twitter, Aditya évoque trois incidents majeurs, ponctués d’autres épisodes mineurs.

Incident 1, hameçonnage / phishing, 100 millions de dollars perdus :

Un trader d’Alameda a mordu à l’hameçon d’un hacker lors d’une transaction sur la DeFi, en cliquant par mégarde sur un lien frauduleux propulsé en tête des résultats de recherche Google.
Aditya Badarwaj

Incident 2, arnaque sur un protocole de yield farming, 40 millions de dollars perdus :

Nous avons initié le yield farming sur une blockchain à la légitimité douteuse. Le créateur s’est retrouvé en position de force avec nos fonds en otage, donnant lieu à des mois de négociations interminables (…) “Je suis fortement enclin à penser que la blockchain incriminée est celle de Waves, partageant un mécanisme similaire avec Luna, avec l’usage de l’USDN. Waves a ainsi englouti plus de 500 millions de dollars de dépôts utilisateurs.
Aditya Badarwaj

Incident 3, fuite de la seed phrase d’un portefeuille, 50 millions de dollars perdus :

Une version obsolète de notre fichier contenant les clés en clair a fuité, probablement du fait d’un ancien employé. L’assaillant a transféré des fonds hors de certaines bourses et a placé des ordres malveillants (…) “Cet incident surpasse en extravagance les précédents, comment pouvait-on conserver des clés dans un fichier en clair, en escomptant qu’aucune fuite ne surviendrait ou qu’aucun employé n’en profiterait ?
Aditya Badarwaj
Des pertes de 190 de millions de dollars sur des stratagèmes qui sont habituellement flagrants pour des traders de leur niveau – des pertes qui auraient pu se chiffrer en milliards selon Aditya Badarwaj
cryptonaute twitter

Une sécurité inexistante sur les clés privées du fonds spéculatif, stockées sans chiffrement

Il y a d’autres détails qu’Aditya Baradwaj révéle dans son thread intitulé “Les Hacks”. Il souligne par exemple que l’agilité “à couper le souffle” de l’entreprise menait à des “incidents de sécurité majeurs” douloureusement récurrents, sans indiquer lesquels.

On s’attendrait à ce qu’un fonds spéculatif aussi important qu’Alameda Research (plus de 20 milliards de dollars sous gestion) mette en œuvre des mesures de sécurité pointues pour se prémunir contre les attaques par hameçonnage et les piratages, fléaux récurrents de l’écosystème crypto.

Pourtant, à en croire Baradwaj, Alameda reléguait les préoccupations de sécurité complètement au second plan. “SBF était convaincu que la rapidité d’exécution était le maître-mot pour une start-up comme Alameda ou FTX”, explique-t-il. “En conséquence, les tests de code étaient pratiquement inexistants et la comptabilité des soldes, incomplète.”

Il explique le désastre dans la gestion des clés privées donnant accès aux fonds logés dans les portefeuilles de trading d’Alameda sur FTX, et celle des clés API liées à ces comptes. Selon lui, ces clés étaient enregistrées en clair dans un fichier laissé à la portée de nombreux employés sur le serveur de la société.

Une telle imprudence ne s’est pas limitée à Alameda. Comme nous vous le rapportions en avril, les ingénieurs du back-office de FTX en faisaient de même, laissant leurs clés sur un serveur Amazon AWS sans chiffrement. Un laxisme qui a permis à un hacker de voler plus de 400 millions de dollars à la bourse crypto peu après son dépôt de faillite en novembre 2022 – un hacker toujours inconnu mais qui vient de déplacer près de 40 millions de dollars (22.500 ETH) après un an sans activité.

Sources : Aditya Baradwj (via X / Twitter)

Sur le même sujet :

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

David Rajaonary

David Rajaonary

David est analyste financier indépendant, et décrypte chaque dimanche pour vous l’actualité de la crypto et de la finance de la semaine. Il écrit régulièrement quelques papiers pour analyser des acteurs clés de la DeFi, des stablecoins et des monnaies numériques de banques centrales.

Diplômé en Finance et Comptabilité, David exerce depuis 10 ans dans l’Audit, le Conseil en management et l’Analyse financière. Ses premiers pas dans la crypto datent de 2020, avec l’étude de projets de monnaies numériques de banque centrale (MNBC) et de registres distribués (blockchains privées).

Depuis, David écrit régulièrement sur la percée des projets Ripple (XRP), Stellar Lumens (XLM) et Chainlink (LINK). Dans ses articles, il vous montre comment ces projets blockchain s’immiscent et transforment silencieusement le monde bancaire et celui de l'investissement.

Paiements transfrontaliers, transferts d’argent, bancarisation des populations vulnérables, prêts, tokénisation de titres financiers, tokénisation de biens immobiliers, lutte contre la fraude, sécurité … sont le fil conducteur de ses articles.

(Petit disclaimer : il s’exprime à titre personnel et son traitement de l’actualité ne constitue en rien des conseils d’investissement, ni des incitations à acheter ou à vendre des cryptomonnaies. Les prises de position, critiques et conclusions sont établies toujours dans le respect des principes d’éthique et de transparence journalistiques)

Quand il ne rédige pas sur la crypto, David aime explorer l’histoire de l’Art africain et des civilisations arabes.

Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram

Cryptonaute.fr fournit des informations de qualité supérieure à travers des guides pédagogiques financiers et des tutoriels vidéo sur la façon d’acheter des actions et d’investir en bourse. Nous comparons les meilleurs fournisseurs ainsi que des informations approfondies sur leurs offres de produits. Nous ne conseillons ni ne recommandons aucun fournisseur, mais nous sommes là pour permettre à notre lecteur de prendre des décisions éclairées sous leur propre responsabilité. Les contrats sur la différence (« CFD ») sont des produits à effet de levier et comportent un risque important de perte pour votre capital. Jusqu’à 67% des comptes d’investisseurs particuliers perdent de l’argent lorsqu’ils négocient avec les courtiers présents sur ce site. Veuillez vous assurer de bien comprendre les risques et demander des conseils à des professionnels indépendants. En continuant à utiliser ce site Web, vous acceptez notre politique de confidentialité.

© cryptonaute.fr

Tous droits réservés – 2017 – 2024