FTX, el una vez amado intercambio de cripto que implosionó En una vorágine de mala conducta financiera el año pasado, parece haber invertido un esfuerzo mínimo en proteger los activos digitales de sus clientes. De hecho, el de la empresa último informe de quiebra revela que, además de administrar sus finanzas como un emperador romano libertino, el deshonrado intercambio de criptomonedas también tuvo algunos de los peores prácticas de ciberseguridad imaginables.
Por supuesto, sabemos que FTX apesta en seguridad digital desde al menos el pasado mes de noviembre cuando, menos de 24 horas después de que la empresa declaró el Capítulo 11 y su ex director ejecutivo, Sam Bankman-Fried, renunció, la compañía sufrió una enorme ataque cibernetico. Durante ese ciberataque, alguien se llevó 432 millones de dólares en activos, un fajo de efectivo digital que aún no se ha contabilizado, al igual que mucho más del dinero de los clientes de FTX.
En ese momento, el incidente de piratería parecía simplemente más malas noticias además de un helado de mierda ya épico, pero ahora tenemos un poco más de contexto para el episodio. El informe del lunes, que analiza exhaustivamente el fracaso total de la empresa a la hora de instituir protecciones digitales bastante básicas, es una Obra maestra del cómic que te hará preguntarte cómo es que la empresa no fue hackeada antes.
“El Grupo FTX no implementó controles de seguridad básicos y ampliamente aceptados para proteger los criptoactivos. Cada falla fue atroz en el contexto de una negocios a los que se les han confiado las transacciones de los clientes», afirma la presentación. Estas son algunas de las conclusiones sobre esos fracasos.
FTX no tenía personal de seguridad cibernética
A pesar de ser una empresa encargada de proteger decenas de miles de millones de dólares en criptoactivos, FTX no tenía personal dedicado a la ciberseguridad. Ninguno. De hecho, La presentación del lunes muestra que la empresa nunca se molestó en contratar a un CISO (un director de seguridad de la información ) para gestionar sus riesgos para ellos. En cambio, confiaron en dos de los desarrolladores de software de la empresa que , como señala el informe, no tenían capacitación formal en seguridad y cuyos trabajos los ponían en desacuerdo con priorizar realmente la seguridad. El informe afirma:
El Grupo FTX no tenía ningún Oficial Jefe de Seguridad de la Información independiente, ni ningún empleado con la capacitación o experiencia adecuada encargada de cumplir con las responsabilidades de dicho rol, y no hay procesos establecidos para evaluar el riesgo cibernético, implementar controles de seguridad o responder a incidentes cibernéticos en tiempo real… como controles críticos en otras áreas, el Grupo FTX despriorizó e ignoró los controles de ciberseguridad, un hecho notable dado que, en esencia, el FTX Todo el negocio del grupo (sus activos, infraestructura y propiedad intelectual) consistía en código informático y tecnología.
Por supuesto, muchas empresas de tecnología sufren de escasez de personal cuando se trata de ciberseguridad, pero eso sólo es excusable si eres una startup y no tienes la mano de obra o el capital para contratar personas competentes. En los días previos a su implosión, FTX era reportado valer tanto como $32 mil millones. Basta decir: creo que podrían haber contratado a una persona.
Almacenamiento en frío FTX prácticamente nunca usado, el estándar de la industria
Otra cosa realmente tonta que hizo FTX fue no mantener los criptoactivos de sus usuarios en almacenamiento en frío, una práctica de seguridad estándar que la mayoría Los exchanges de cripto afirman cumplir .
En general, los criptoactivos se pueden almacenar de dos maneras separadas:carteras calientes”, que son cuentas basadas en software conectadas a Internet; y ”almacenamiento en frío”, que es una forma de almacenamiento fuera de línea basada en hardware. El almacenamiento en frío se considera seguro, mientras que las “billeteras activas” son más riesgosas porque: vinculados a la web: pueden (y a menudo lo hacen) ser hackeado.
La sabiduría común sugiere que las empresas mantengan tantas criptomonedas en carteras activas como sea necesario para mantener las cuentas líquidas, mientras que el resto de las criptomonedas debe mantenerse en almacenamiento en frío. Sin embargo, FTX no hizo eso; en cambio, el informe dice que mantuvo “prácticamente todos” sus activos de los clientes en carteras activas.
¿FTX no sabía que el almacenamiento en frío era más seguro o algo así? No, peor que ser demasiado estúpido para implementar los controles adecuados, el intercambio El liderazgo parece no haberle dado mucha importancia.
“El Grupo FTX sin duda reconoció cómo debería funcionar un criptoexchange prudente, porque cuando terceros le pidieron que describiera en qué medida usó almacenamiento en frío, mintió”, afirma el informe, enumerando una serie de ejemplos en los que los ejecutivos de FTX, incluido SBF, afirmaron que mantuvieron los activos de los usuarios en cámaras frigoríficas. En un caso, la empresa dijo a los inversores que, de acuerdo con las mejores prácticas de la industria, mantenía una pequeña cantidad de criptomonedas en monederos activos , mientras el resto fue “almacenado fuera de línea en computadoras portátiles encriptadas con espacios de aire, que están distribuidas geográficamente. ”Pero esto fue, según el informe, simplemente una tontería.
En cambio, como señala el informe, “el grupo FTX hizo poco uso del almacenamiento en frío”, excepto en Japón, donde [era] requerido. por regulación para usarla.
Las claves criptográficas privadas se dejaron sin cifrar
Otra cosa totalmente idiota que hicieron los FTX fue mantener las claves criptográficas y las frases semilla sensibles de los clientes almacenadas en documentos de texto sin formato que aparentemente accesible por el personal.
En las criptomonedas, la clave o frase inicial es la contraseña que le permite acceder a la billetera individual de un usuario. Baste decir que los estándares de la industria Obligar a los intercambios criptográficos a mantener esa información cifrada y, por lo tanto, a salvo de miradas indiscretas. No es así con FTX, que aparentemente mantuvo claves que Podría abrir carteras por valor de decenas de millones de dólares sin cifrar, en texto sin formato, simplemente tiradas en AWS.
Según el informe, esto era parte integrante de un enfoque de seguridad generalmente desorganizado, en el que se utilizaban “claves privadas y frases semilla”. por FTX.com, FTX.US y Alameda fueron almacenados en varias ubicaciones en todo el entorno informático del Grupo FTX de forma desorganizada, usando una variedad de métodos inseguros y sin ningún procedimiento uniforme o documentado”.
La banda FTX no usó realmente la autenticación multifactor
Aparentemente, SBF y su alegre grupo de hipsters “no lograron imponer de manera efectiva el uso” de la autenticación multifactor (MFA), una herramienta muy básica. forma de seguridad web que prácticamente todos los que trabajan en una oficina conocen. El informe publicado recientemente señala que el liderazgo del intercambio de criptomonedas “no logró implementar de manera apropiada ni siquiera los controles más ampliamente aceptados relacionados con la gestión de identidad y acceso (“IAM”)”. incluyó la falta de uso de MFA, así como de los servicios de inicio de sesión único, que también se consideran ampliamente como una de las mejores prácticas de la industria.
¡Y mucho, mucho más!
Hay muchas otras joyas divertidas de negligencia de seguridad que FTX parece haber cometido, por lo que sugeriría leer el informe completo si quieres que tu mandíbula caiga al suelo.
