Ünlü trader’ların kripto ekosisteminin başına bela olan kimlik avı hücumlarına ve hacker’lara karşı muhafaza sağlamak ismine yüksek seviyede güvenlik tedbirleri almasını bekleyebilirsiniz.
Anlaşılan Alameda Research’te durum bu türlü değildi. Alameda’nın eski mühendislerinden Aditya Baradwaj’ın tezine nazaran Sam Bankman-Fried tarafından yönetilen şirket, dalda yaygın olarak görülen bu ataklarla en az 200 milyon dolar kaybetti.
Baradwaj, Twitter paylaşımında şunları söyledi:
Baradwaj, “Blokzincir özel anahtarları ve borsa API anahtarları, birkaç çalışanın daha erişebileceği bir evrakta saklanıyordu.” diye ekledi. CoinDesk, maaş bordrolarını inceleyerek Baradwaj’ın bir Alameda çalışanı olduğunu doğruladı.
Alameda, ağın geliştiricisinin şirketin fonlarını rehin tuttuğu “meşruiyeti kuşkulu yeni bir blokzincir” üzerinde “yield farming” yaparak 40 milyon dolar kaybetti. Aylarca süren tartışmalar sonrasında bu fonların geri alınıp alınmadığı ise belirli değil.
“Yield farming”, bir blokzincirdeki bir finansal uygulamaya token sağlayarak ödül kazanmanın tanınan bir yoludur. Bununla birlikte makûs niyetli kullanıcılar tarafından oluşturulan uygulamalar, büyük ölçüde sermaye toplandıktan sonra para çekme süreçlerini engelleyebilir ve bu da kayıplara yol açabilir.
Diğer bir güvenlik sorunu, “muhtemelen eski bir çalışanın” özel anahtarları sızdırmasıyla yaşandı. Taarruz, Alameda’nın 50 milyon doların üzerinde ziyan etmesine sebep oldu.
Ancak en büyük darbe, Alameda’nın Google (GOOGL) Ads sanarak tıkladığı bir ilişki sonucu kimlik avı saldırısına uğramasıyla görüldü. Olayla birlikte şirket 100 milyon dolar pahasında kayıp yaşadı. Geçersiz ilişki bir DeFi protokolünü taklit ediyordu ve Google aramalarında üste çıkması için reklam verilmişti.
Baradwaj, bu olayların Alameda’daki pek çok güvenlik açığından yalnızca birkaçı olduğunu belirtti.
Michaels Lewis‘in yazdığı yakın vakitte yayımlanan Bankman-Fried biyografisinde, kurucunun Alameda’nın birinci günlerinde her gün en az 500 bin dolar kaybettiği ve hatta bir defasında yaklaşık 4 milyon dolar kıymetinde XRP token’ının yanlış adrese gönderildiği sav ediliyor.
Tüm bunlar bir ortaya geldiğinde Alameda’daki yetersiz güvenlik operasyonları ve çalışanların kayıtsızlığı öne çıkıyor. Sonuç olarak özel anahtarlar daha inançlı bir biçimde saklansaydı ve DeFi süreçleri milyonlarca dolarlık sermayeyi taşımadan evvel dikkatlice incelenseydi, bu atakların her biri önlenebilirdi.
Bu makale birinci olarak CoinDesk Türkiye üzerinde yayımlanmıştır.
Loading...
