大手トレーディング会社には、暗号資産(仮想通貨)エコシステムを悩ませるフィッシング攻撃やハッキングから資産を守るために、高レベルのセキュリティと対策を講じることを期待するだろう。
しかし、アラメダ・リサーチ(Alameda Research)は違ったようだ。元従業員のアディティヤ・バラドワジ(Aditya Baradwaj)氏が新たに証言したところによると、サム・バンクマン-フリード(Sam Bankman-Fried)氏が経営していたこのトレーディング会社は、業界で蔓延する一般的な攻撃によって少なくとも2億ドル(約300億円、1ドル=150円換算)を失った。
「SBFは、アラメダやFTXのような新興企業にとって最も重要なことは、とてもとても速く動けることだと考えていた」とバラドワジ氏は述べた。「これは、事実上コードテストがなく、残高計算が不完全であることを意味する」。
「ブロックチェーンの秘密鍵と取引所のAPIキーは、複数の従業員がアクセスできるファイルに平文で保存されていた」とバラドワジ氏は付け加えた。米CoinDeskは、彼がアラメダの従業員であったことを、彼が提出した給与明細によって確認した。
These decisions allowed us to move at breathtaking speed. Developer velocity that would make any Silicon Valley software engineer shed tears of joy
— Adi (e/acc) (@aditya_baradwaj) October 11, 2023
However the flip side of this tradeoff was that we’d have a major security incident once every few months:
アラメダは「正当性が疑わしい新しいブロックチェーン」上でのイールドファーミングによって4000万ドル(約60億円)を失った。そのネットワークの作成者が同社の資金を人質に取ったのだ。その後、数カ月の交渉が続いたが、最終的にこれらの資金が回収されたかどうかは不明だ。
イールドファーミングは、ブロックチェーン上の金融アプリケーションにトークンを供給することで報酬を得る一般的な方法だ。しかし、悪意のある者によって構築されたアプリケーションは、多額の資金を集めた後に引き出しをブロックする可能性があり、損失につながることがある。
もうひとつのセキュリティ上の失態は、秘密鍵、つまり安全な暗号化ストレージへのパスワードが「おそらく元従業員によって」流出したことだ。これによる攻撃で、アラメダはさまざまなトークンで5000万ドル(約75億円)以上の損失を被った。
しかし、最大の被害は、アラメダが偽のグーグル広告に騙されてフィッシング・リンクをクリックしたことで被った1億ドル(約150億円)の損失だ。この偽リンクは分散型金融(DeFi)プロトコルを模倣したもので、グーグル検索の上位に表示されていたようだ。
バラドワジ氏は、これらの事件はアラメダにおける数多くのセキュリティ上の過失のほんの一部に過ぎないと述べた。
マイケルズ・ルイス(Michaels Lewis)氏が最近発表したバンクマン-フリード氏の伝記では、この創業者はアラメダの初期に毎日少なくとも50万ドル(約7500万円)を失い、400万ドル(約6億円)相当のエックス・アール・ピー(XRP)の在り処を忘れたことがあるとされている。
これらの被害は、アラメダのセキュリティの甘さと従業員の注意力不足を明らかにするものだ。いずれの攻撃も、秘密鍵がより安全に保管され、数百万ドルの資本を動かす前にDeFi取引が慎重に吟味されていれば、回避できたはずなのだから。
|翻訳:CoinDesk JAPAN
|編集:井上俊彦
|画像:Shutterstock
|原文:Alameda Lost Nearly $200M to Phishing Attacks, Ex-Engineer Says
