EchangeurHack, Fraude et ScamNews

La sécurité en papier-mâché de FTX dénoncée sur X

FTX exchange
Crédit : Shutterstock

Un ancien développeur d’Alameda Research, filiale de FTX, ajoute de nouveaux éléments à charge alors que le procès de SBF se déroule. De mauvaises pratiques auraient coûté près de 200 millions de dollars à l’exchange.

 

Sam Bankman-Fried, l’ex-CEO de FTX, est aujourd’hui confrontée à son ancienne collaboratrice (et compagne) Caroline Ellison. Dans le cadre du procès en cours aux États-Unis, Ellison fait porter une lourde responsabilité sur le fondateur de la bourse crypto.

Aditya Baradwaj, auparavant ingénieur logiciel pour Alameda Research, le hedge fund de FTX dirigé par Ellison, est lui aussi décidé à faire entendre sa voix. Il ne témoigne cependant pas devant les jurés, mais sur X (Twitter).

Un phishing à 100 millions de dollars

Baradwaj, qui a pratiquement perdu tous ses actifs liquides (90%) avec la faillite de l’exchange, a manifestement des raisons personnelles de ne pas épargner son ex-employeur. Ainsi, selon lui, FTX a caché des pertes considérables dues à des failles de sécurité.

Au total, il chiffre le préjudice à 190 millions de dollars. Sur X, il relate par exemple qu’un trader de la société a provoqué la perte de 100 millions de dollars après avoir cliqué sur un lien de phishing durant une transaction DeFi.

FTX aurait également perdu 40 millions dans le cadre de yield farming sur un protocole frauduleux, puis 50 millions suite à un hack. La cause : la fuite de clés d’accès conservées dans un fichier texte. Un attaquant aurait pu de cette façon transférer 50 millions de dollars.

La rapidité au détriment de la sécurité

Pour le développeur, le responsable de ces incidents est le patron de FTX.

SBF pensait que la chose la plus importante pour une startup comme Alameda ou FTX était d’être capable d’avancer très, très vite. À tel point qu’il a décidé d’ignorer les pratiques d’ingénierie et de comptabilité considérées comme normales dans les entreprises technologiques et les sociétés de services financiers », explique-t-il.

Le résultat de cette stratégie, c’est « pratiquement aucun tests de code » , une comptabilité lacunaire et des contrôles de sécurité négligés.

Les clés privées de la blockchain et les clés API de la bourse étaient stockées en clair dans un fichier auquel plusieurs employés pouvaient accéder », relate encore Aditya Baradwaj.

Une stratégie performante, jusqu’à la rupture

Ces négligences présentaient des avantages. « Ces décisions nous ont permis d’avancer à une vitesse époustouflante. Une vitesse de développement qui ferait verser des larmes de joie à n’importe quel ingénieur logiciel de la Silicon Valley ».

Mais, « le revers de la médaille était que nous avions un incident de sécurité majeur tous les quelques mois ». Aditya Baradwaj se dit convaincu que SBF était persuadé de faire les bons choix.

Même après tous ces incidents, aucune tentative sérieuse n’a été faite pour changer notre mode de fonctionnement. C’est le genre de prise de risque qui semble fonctionner… jusqu’à ce qu’elle ne fonctionne plus », conclut-il.

  Pour suivre facilement l’actu Crypto et Web3, retrouvez Coins.fr sur Twitter, Linkedin, Google, Facebook et Telegram

Christophe Auffray
Cofondateur et rédacteur en chef adjoint - Journaliste spécialiste de la transformation numérique depuis 2005, Christophe a notamment été rédacteur en chef adjoint chez ZDNet. Il suit de près l’actualité autour des actifs numériques et la décrypte au quotidien. Contact : christophe@coins.fr