FTX, der einst geliebt Krypto-Börse das implodiert in einem Strudel von finanziellem Fehlverhalten im letzten Jahr scheint es nur minimale Anstrengungen aufgewandt hat, die digitalen Vermögenswerte seiner Kunden zu schützen. Tatsächlich hat das Unternehmen Aktueller Insolvenzbericht zeigt, dass die in Ungnade gefallene Krypto-Börse nicht nur ihre Finanzen wie ein verdorbener römischer Kaiser verwaltete, sondern auch einige der schlimmsten Dinge hatte Cybersicherheitspraktiken, die man sich vorstellen kann.
Natürlich wissen wir seit mindestens November letzten Jahres, dass FTX hinsichtlich der digitalen Sicherheit schlecht abgeschnitten hat, weniger als 24 Stunden nach der Markteinführung des Unternehmens Als Chapter 11 erklärte, dass sein früherer CEO, Sam Bankman-Fried, zurücktrat, erlitt das Unternehmen eine schwere Krise Cyber Attacke. Bei diesem Cyberangriff machte sich jemand mit einem Vermögen von 432 Millionen US-Dollar davon, einem Bündel digitalen Bargelds, das immer noch vermisst wird – genau wie noch viel mehr des Geldes der FTX-Kunden.
Damals schien der Hacker-Vorfall nur eine weitere schlechte Nachricht zusätzlich zu einem ohnehin epischen Mist-Eisbecher zu sein, aber jetzt haben wir es ein bisschen mehr Kontext für die Folge. Der Bericht vom Montag, der ausführlich auf das völlige Versäumnis des Unternehmens eingeht, grundlegende digitale Schutzmaßnahmen einzuführen, ist ein Ein komisches Meisterwerk, bei dem Sie sich fragen, wieso das Unternehmen nicht schon früher gehackt wurde.
„Die FTX-Gruppe hat es versäumt, grundlegende, weithin akzeptierte Sicherheitskontrollen zum Schutz von Krypto-Assets zu implementieren. Jeder Fehler war im Kontext eines „Unternehmen, das mit Kundentransaktionen betraut ist“, heißt es in der Akte. Hier sind einige Erkenntnisse zu diesen Fehlern
FTX hatte kein Cybersicherheitspersonal
Obwohl es sich bei FTX um ein Unternehmen handelt, dessen Aufgabe es ist, Krypto-Vermögenswerte im Wert von mehreren zehn Milliarden Dollar zu schützen, verfügte FTX über kein dediziertes Cybersicherheitspersonal. Keines. In der Tat Die Unterlagen vom Montag zeigen, dass sich das Unternehmen nie die Mühe gemacht hat, einen Mitarbeiter einzustellen CISO (einen Chief Information Security Officer), um die Risiken für sie zu verwalten. Stattdessen verließen sie sich auf zwei der Softwareentwickler des Unternehmens, die In dem Bericht heißt es, dass sie keine formale Ausbildung im Bereich Sicherheit hatten und aufgrund ihrer Arbeit im Widerspruch dazu standen, dass sie der Sicherheit tatsächlich Priorität einräumten. Im Bericht heißt es:
Die FTX-Gruppe verfügte über keinen unabhängigen Chief Information Security Officer und keinen Mitarbeiter mit angemessener Ausbildung oder Erfahrung, der mit der Erfüllung der Verantwortlichkeiten eines solchen beauftragt wäre Rolle und es gibt keine etablierten Prozesse für die Bewertung des Cyber-Risikos, die Implementierung von Sicherheitskontrollen oder die Reaktion auf Cyber-Vorfälle in Echtzeit… wie bei Kritische Kontrollen in anderen Bereichen hat die FTX Group den Cybersicherheitskontrollen eine völlige Priorität eingeräumt und sie ignoriert, eine bemerkenswerte Tatsache, wenn man bedenkt, dass die FTX im Wesentlichen Das gesamte Geschäft der Gruppe – ihre Vermögenswerte, ihre Infrastruktur und ihr geistiges Eigentum – bestand aus Computercode und Technologie.
Zugegeben, viele Technologieunternehmen leiden darunter Personalengpässe wenn es um Cybersicherheit geht, aber das ist wirklich nur entschuldbar, wenn Sie ein Startup und nicht die Manpower oder das Kapital haben Stellen Sie kompetente Leute ein. In den Tagen vor seiner Implosion war FTX gemeldet 32 Milliarden US-Dollar wert sein. Es genügt zu sagen: Ich glaube, sie hätten einen Mann einstellen können
FTX-ziemlich nie genutzte Kühllagerung, der Branchenstandard
Eine weitere wirklich dumme Sache, die FTX gemacht hat, war, dass es die Krypto-Assets seiner Benutzer nicht in einem Kühllager aufbewahrte – eine standardmäßige Sicherheitspraxis, die die meisten von ihnen nutzten Krypto-Börsen erheben den Anspruch, sich daran zu halten
Generell können Krypto-Assets auf zwei verschiedene Arten gespeichert werden:heiße Geldbörsen„Das sind softwarebasierte Konten, die mit dem Internet verbunden sind.Kühlraum„Es handelt sich um eine Offline-Speicherform, die auf Hardware basiert. Cold Storage gilt als sicher, während „Hot Wallets“ riskanter sind, weil sie es sind mit dem Internet verknüpft – das können sie (und tun es oft auch). gehackt werden.
Es ist allgemein bekannt, dass Unternehmen genau so viel Krypto in Hot Wallets behalten, wie nötig ist, um ihre Konten liquide zu halten, während der Rest der Krypto sollte in einem Kühlraum aufbewahrt werden. Allerdings hat FTX die nicht getan; Stattdessen sagt der Bericht, dass es „praktisch alle“ aufbewahrt hat Kundenvermögen in Hotwallets.
Wusste FTX nicht, dass Cold Storage sicherer oder so ist? Nein, es ist noch schlimmer, als zu dumm zu sein, um ordnungsgemäße Kontrollen der Börse einzuführen Die Führung scheint einfach nicht viel gegeben zu haben.
„Die FTX-Gruppe hat zweifellos erkannt, wie eine umsichtige Krypto-Börse funktionieren sollte, denn wenn sie von Dritten darum gebeten wird, das Ausmaß zu beschreiben „Es hat Kühlräume genutzt, es hat gelogen“, heißt es in dem Bericht und listet eine Reihe von Beispielen auf, in denen FTX-Führungskräfte – darunter auch SBF – dies behaupteten Sie bewahrten die Vermögenswerte der Benutzer in einem Kühllager auf. In einem Fall teilte das Unternehmen seinen Investoren mit, dass es es im Einklang mit den Best Practices der Branche aufbewahrte Eine kleine Menge an Kryptowährungen befand sich in Hot Wallets, während der Rest „offline“ in verschlüsselten Laptops mit Luftspalten gespeichert wurde, die geografisch verteilt sind. „Aber das war dem Bericht zufolge einfach nur Blödsinn.
Stattdessen, wie in dem Bericht festgestellt, „nutzte die FTX-Gruppe nur wenig Kühlraum“, außer in Japan, „wo dies erforderlich war“. durch Verordnung, es zu verwenden.
Private kryptografische Schlüssel blieben unverschlüsselt
Eine weitere völlig idiotische Sache, die die FTX-Peeps gemacht haben, besteht darin, die sensiblen kryptografischen Schlüssel und Seed-Phrasen der Kunden in Klartextdokumenten zu speichern, die offensichtlich waren zugänglich für das Personal.
In der Kryptowährung ist der Schlüssel oder die Startphrase das Passwort, mit dem Sie in die individuelle Brieftasche eines Benutzers gelangen. Es genügt zu sagen, dass es sich um Branchenstandards handelt Sie zwingen Krypto-Börsen dazu, diese Informationen zu verschlüsseln und damit vor neugierigen Blicken zu schützen. Dies ist jedoch bei FTX nicht der Fall, wo die Schlüssel offenbar aufbewahrt wurden könnte Geldbörsen im Wert von mehreren zehn Millionen Dollar unverschlüsselt, im Klartext öffnen, die einfach in AWS herumliegen.
Dem Bericht zufolge war dies Teil eines allgemein unorganisierten Sicherheitsansatzes, bei dem „private Schlüssel und Seed-Phrasen“ verwendet wurden von FTX.com, FTX.US und Alameda wurden an verschiedenen Standorten in der Rechnerumgebung der FTX Group in unorganisierter Form gespeichert eine Vielzahl unsicherer Methoden und ohne einheitliche oder dokumentierte Vorgehensweise.“
Die FTX-Gang nutzte die Multi-Faktor-Authentifizierung nicht wirklich
SBF und seine fröhliche Hipster-Truppe haben es offenbar auch versäumt, den Einsatz der Multi-Faktor-Authentifizierung (MFA) – einer sehr einfachen Methode – wirksam durchzusetzen Eine Form der Web-Sicherheit, die so gut wie jeder, der in einem Büro arbeitet, kennt. Im kürzlich veröffentlichten Bericht heißt es, dass die Krypto-Börse führend ist „Es ist uns nicht gelungen, selbst die am weitesten verbreiteten Kontrollen im Zusammenhang mit dem Identitäts- und Zugriffsmanagement („IAM“) angemessen zu implementieren.“ Dies Dazu gehörte ein Versäumnis, MFA und Single-Sign-On-Dienste zu nutzen – was ebenfalls allgemein als Best Practice der Branche angesehen wird.
Und noch viel, viel mehr!
Es gibt noch viele weitere urkomische Juwelen an Sicherheitsverstößen, die offenbar von FTX begangen wurden. Daher empfehle ich Ihnen, dies zu lesen vollständiger Bericht wenn Sie möchten, dass Ihnen die Kinnlade auf den Boden fällt.
