FTX 的网络安全非常糟糕

文章来源

FTX 是曾经备受喜爱的加密货币交易所，去年 11 月因金融不端行为而倒闭，似乎对保护其客户的数字资产并没有给予太多关注。

事实上，该公司最新的破产报告显示，除了像 Jim-Beam 大摇大摆的猴子和放荡的罗马皇帝之间的交叉一样管理其财务之外，这家名誉扫地的加密货币交易所显然还有一些可以想象的最糟糕的网络安全实践。

是的，这家公司只是想被黑。当然，确实如此。

去年 11 月，在公司宣布第 11 章破产后不到 24 小时，在其前任领导人 Sam Bankman-Fried（或 SBF）卸任首席执行官后不久，该公司遭受了大规模的数字抢劫，其中一些身份不明的恶魔制造了带着 4.32 亿美元的资产，一大堆数字现金仍然下落不明——就像 FTX 客户的大量资金一样。

当时，黑客事件似乎只是一个已经史诗般的狗屎圣代冰淇淋之上的更多坏消息，但现在我们对这一事件有了更多的了解。事实上，周一的报告广泛回顾了该公司在建立非常基本的数字保护方面的完全失败，是一部喜剧杰作，会让你想知道该公司为什么没有早点遭到黑客攻击。

“FTX 集团未能实施基本的、广泛接受的安全控制来保护加密资产。在委托客户交易的企业背景下，每一次失败都是令人震惊的，”报告指出。以下是关于这些失败的一些要点。

FTX 没有安保人员

尽管 FTX 是一家肩负保护数百亿美元加密资产任务的公司，但它并没有专门的网络安全人员。没有任何。事实上，公司从来没有费心聘请 CISO（首席信息安全官）来为他们管理公司的风险。相反，他们依赖于公司的两名软件开发人员，报告指出，他们没有接受过安全领域的正规培训，而且他们的工作与优先考虑安全性不一致。报告指出：

FTX 集团没有独立的首席信息安全官，也没有受过适当培训或经验的员工来履行此类职责，也没有既定流程来评估网络风险、实施安全控制或实时响应网络事件。 ..与其他领域的关键控制一样，FTX 集团严重忽视并忽视了网络安全控制，这是一个值得注意的事实，因为从本质上讲，FTX 集团的整个业务——其资产、基础设施和知识产权——由计算机代码和技术组成.

诚然，在网络安全方面，许多科技公司都面临人员短缺的问题，但只有当你是独角兽或初创公司并且没有人力或资金来聘请有能力的人时，这才是情有可原的。据报道，在其崩溃前几天，FTX 的市值高达 320 亿美元。可以这么说，我认为他们可以雇用一个人。

FTX 几乎从未使用过冷库

FTX 做的另一件非常愚蠢的事情是未能将其用户的加密资产保存在冷库中——这是大多数加密交易所声称遵守的标准安全做法。

一般来说，加密资产可以通过两种不同的方式存储：“热钱包”，这是一种连接到互联网的基于软件的账户；和“冷存储”，这是一种离线的、基于硬件的存储形式。冷存储被认为是安全的，而“热钱包”风险更高，因为它们与网络相连——它们可能（而且经常）被黑客攻击。

常识表明，公司在热钱包中保留尽可能多的加密货币以保持账户流动性，而其余的加密货币应保存在冷库中。但是，FTX 没有这样做；相反，该报告称其将“几乎所有”客户的资产都保存在热钱包中。

FTX 不知道冷存储更安全吗？不，比愚蠢到无法实施适当的控制更糟糕的是，交易所的领导层似乎根本不在乎。

“FTX 集团无疑认识到了一个谨慎的加密货币交易所应该如何运作，因为当第三方要求描述它使用冷存储的程度时，它撒了谎，”报告指出，并列举了 FTX 高管的一些例子——包括 SBF——声称他们将用户的资产保存在冷藏库中。在一个例子中，该公司告诉投资者，为了与行业最佳实践保持一致，它在热钱包中保留了少量加密货币，而其余的则“离线存储在地理分布的气隙加密笔记本电脑中”。但根据该报告，这只是胡说八道。

相反，正如报告所指出的那样，“FTX 集团很少使用冷库”，但在日本除外，“在日本，[法规要求]使用冷库”。

私钥未加密

FTX 偷窥者所做的另一件完全愚蠢的事情是将客户的敏感加密密钥和种子短语存储在明文文件中，这些文件显然可供工作人员访问。

在加密货币中，密钥或种子短语是让你进入用户个人钱包的密码。可以这么说，行业标准迫使加密货币交易所对信息进行加密，从而避免被窥探。事实并非如此，对于 FTX，它显然以明文形式将可以打开价值数千万美元的钱包的密钥保存在 AWS 中。

根据该报告，这是一种普遍混乱的安全方法的重要组成部分，其中“FTX.com、FTX.US 和 Alameda 使用的私钥和种子短语存储在 FTX Group 整个计算环境中的不同位置一种杂乱无章的方式，使用各种不安全的方法，没有任何统一或成文的程序。”

FTX 团伙并没有真正使用 MFA

SBF 和他那群快乐的潮人显然也“未能有效地强制使用”多因素身份验证——这是一种非常基本的网络安全形式，几乎每个在办公室工作的人都知道。最近发布的报告指出，加密货币交易所的领导层“未能以适当的方式实施与身份和访问管理（“IAM”）相关的最广泛接受的控制措施。”这包括未能使用 MFA 以及单点登录服务——这也被广泛认为是行业最佳实践。

还有很多很多！

可以这么说，FTX 似乎还犯下了许多其他搞笑的安全疏忽，所以如果你想让你的下巴掉到地上，我建议你阅读完整的报告。