Ünlü trader’ların kripto ekosisteminin başına bela olan kimlik avı akınlarına ve hacker’lara karşı müdafaa sağlamak ismine yüksek seviyede güvenlik tedbirleri almasını bekleyebilirsiniz.
Anlaşılan Alameda Research’te durum bu türlü değildi. Alameda’nın eski mühendislerinden Aditya Baradwaj’ın savına nazaran Sam Bankman-Fried tarafından yönetilen şirket, kesimde yaygın olarak görülen bu taarruzlarla en az 200 milyon dolar kaybetti.
Baradwaj, Twitter paylaşımında şunları söyledi:
Baradwaj, “Blokzincir özel anahtarları ve borsa API anahtarları, birkaç çalışanın daha erişebileceği bir belgede saklanıyordu.” diye ekledi. CoinDesk, maaş bordrolarını inceleyerek Baradwaj’ın bir Alameda çalışanı olduğunu doğruladı.
Alameda, ağın geliştiricisinin şirketin fonlarını rehin tuttuğu “meşruiyeti kuşkulu yeni bir blokzincir” üzerinde “yield farming” yaparak 40 milyon dolar kaybetti. Aylarca süren tartışmalar sonrasında bu fonların geri alınıp alınmadığı ise aşikâr değil.
“Yield farming”, bir blokzincirdeki bir finansal uygulamaya token sağlayarak ödül kazanmanın tanınan bir yoludur. Bununla birlikte makus niyetli kullanıcılar tarafından oluşturulan uygulamalar, büyük ölçüde sermaye toplandıktan sonra para çekme süreçlerini engelleyebilir ve bu da kayıplara yol açabilir.
Diğer bir güvenlik sorunu, “muhtemelen eski bir çalışanın” özel anahtarları sızdırmasıyla yaşandı. Hücum, Alameda’nın 50 milyon doların üzerinde ziyan etmesine sebep oldu.
Ancak en büyük darbe, Alameda’nın Google (GOOGL) Ads sanarak tıkladığı bir ilişki sonucu kimlik avı saldırısına uğramasıyla görüldü. Olayla birlikte şirket 100 milyon dolar pahasında kayıp yaşadı. Düzmece irtibat bir DeFi protokolünü taklit ediyordu ve Google aramalarında üste çıkması için reklam verilmişti.
Baradwaj, bu olayların Alameda’daki pek çok güvenlik açığından yalnızca birkaçı olduğunu belirtti.
Michaels Lewis‘in yazdığı yakın vakitte yayımlanan Bankman-Fried biyografisinde, kurucunun Alameda’nın birinci günlerinde her gün en az 500 bin dolar kaybettiği ve hatta bir defasında yaklaşık 4 milyon dolar bedelinde XRP token’ının yanlış adrese gönderildiği argüman ediliyor.
Tüm bunlar bir ortaya geldiğinde Alameda’daki yetersiz güvenlik operasyonları ve çalışanların kayıtsızlığı öne çıkıyor. Sonuç olarak özel anahtarlar daha inançlı bir biçimde saklansaydı ve DeFi süreçleri milyonlarca dolarlık sermayeyi taşımadan evvel dikkatlice incelenseydi, bu taarruzların her biri önlenebilirdi.
Bu makale birinci olarak CoinDesk Türkiye üzerinde yayımlanmıştır.
