FTX, pertukaran crypto yang pernah dicintai yang jatuh dalam bola api penyimpangan finansial November lalu, tampaknya tidak peduli tentang melindungi aset digital pelanggannya.
Memang, laporan kebangkrutan terbaru perusahaan mengungkapkan bahwa, selain mengelola keuangannya seperti persilangan antara Jim-Beam-swigging monkey dan kaisar Romawi yang bejat, pertukaran crypto yang dipermalukan juga tampaknya memiliki beberapa praktik keamanan dunia maya terburuk yang bisa dibayangkan.
Yap, perusahaan ini hanya meminta untuk diretas. Dan, tentu saja, itu terjadi.
November lalu, kurang dari 24 jam setelah perusahaan menyatakan kebangkrutan Bab 11 dan tidak lama setelah mantan pemimpinnya, Sam Bankman-Fried (atau, SBF) mengundurkan diri sebagai CEO, perusahaan mengalami perampokan digital besar-besaran di mana beberapa penjahat yang tidak dikenal dibuat. dengan aset $432 juta, setumpuk uang digital yang masih belum ditemukan—sama seperti lebih banyak uang pelanggan FTX.
Pada saat itu, insiden peretasan tampak seperti berita buruk selain sundae yang sudah epik, tetapi sekarang kami memiliki lebih banyak konteks untuk episode tersebut. Memang, laporan hari Senin, yang meninjau secara ekstensif kegagalan total perusahaan untuk melembagakan perlindungan digital yang cukup mendasar, adalah mahakarya lucu yang akan membuat Anda bertanya-tanya bagaimana perusahaan tidak diretas lebih awal.
“Grup FTX gagal menerapkan kontrol keamanan dasar yang diterima secara luas untuk melindungi aset crypto. Setiap kegagalan sangat mengerikan dalam konteks bisnis yang dipercayakan dengan transaksi pelanggan,” kata laporan itu. Berikut adalah beberapa takeaways tentang kegagalan tersebut.
FTX Tidak Memiliki Staf Keamanan
Meskipun merupakan perusahaan yang bertugas melindungi puluhan miliar dolar dalam aset kripto, FTX tidak memiliki staf keamanan siber yang berdedikasi. Tidak ada. Memang, perusahaan tidak pernah repot-repot menyewa CISO (kepala petugas keamanan informasi) untuk mengelola risiko perusahaan bagi mereka. Sebaliknya, mereka mengandalkan dua pengembang perangkat lunak perusahaan yang, catat laporan itu, tidak memiliki pelatihan formal di arena keamanan dan yang pekerjaannya membuat mereka tidak memprioritaskan keamanan. Laporan tersebut menyatakan:
Grup FTX tidak memiliki Chief Information Security Officer yang independen, tidak ada karyawan dengan pelatihan atau pengalaman yang sesuai yang ditugaskan untuk memenuhi tanggung jawab peran tersebut, dan tidak ada proses yang ditetapkan untuk menilai risiko dunia maya, menerapkan kontrol keamanan, atau menanggapi insiden dunia maya secara waktu nyata. .. seperti kontrol kritis di area lain, Grup FTX sangat tidak memprioritaskan dan mengabaikan kontrol keamanan siber, sebuah fakta yang luar biasa mengingat, pada dasarnya, seluruh bisnis Grup FTX—aset, infrastruktur, dan kekayaan intelektualnya—terdiri dari kode dan teknologi komputer .
Memang, banyak perusahaan teknologi menderita kekurangan staf dalam hal keamanan siber, tetapi itu benar-benar hanya dapat dimaafkan jika Anda adalah unicorn atau perusahaan rintisan dan tidak memiliki tenaga atau modal untuk mempekerjakan orang yang kompeten. Pada hari-hari sebelum ledakannya, FTX dilaporkan bernilai sebanyak $32 miliar. Cukuplah untuk mengatakan, saya pikir mereka bisa mempekerjakan seorang pria.
FTX Hampir Tidak Pernah Menggunakan Cold Storage
Hal lain yang benar-benar bodoh yang dilakukan FTX adalah gagal menjaga aset crypto penggunanya dalam penyimpanan dingin — praktik keamanan standar yang diklaim dipatuhi oleh sebagian besar pertukaran crypto.
Secara umum, aset kripto dapat disimpan dalam dua cara terpisah: "dompet panas", yang merupakan akun berbasis perangkat lunak yang terhubung ke internet; dan "penyimpanan dingin", yang merupakan bentuk penyimpanan offline berbasis perangkat keras. Penyimpanan dingin dianggap aman, sementara “dompet panas” lebih berisiko, karena—ditautkan ke web—mereka dapat (dan sering kali) diretas.
Kebijaksanaan umum menunjukkan bahwa perusahaan menyimpan crypto dalam dompet panas sebanyak yang diperlukan untuk menjaga likuidasi akun, sedangkan crypto lainnya harus disimpan dalam penyimpanan dingin. Namun, FTX tidak melakukan itu; sebaliknya, laporan tersebut mengatakan bahwa mereka menyimpan "hampir semua" aset pelanggannya di dompet panas.
Apakah FTX tidak tahu bahwa penyimpanan dingin lebih aman atau semacamnya? Tidak, lebih buruk daripada terlalu bodoh untuk menerapkan kontrol yang tepat, kepemimpinan pertukaran tampaknya tidak peduli.
“Grup FTX tidak diragukan lagi mengenali bagaimana pertukaran crypto yang hati-hati harus beroperasi, karena ketika diminta oleh pihak ketiga untuk menjelaskan sejauh mana ia menggunakan penyimpanan dingin, itu berbohong,” kata laporan itu, mencantumkan sejumlah contoh di mana eksekutif FTX— termasuk SBF—mengklaim bahwa mereka menyimpan aset pengguna di cold storage. Dalam satu contoh, perusahaan memberi tahu investor bahwa, sesuai dengan praktik terbaik industri, ia menyimpan sejumlah kecil crypto di dompet panas, sementara sisanya "disimpan secara offline di laptop terenkripsi dengan celah udara, yang didistribusikan secara geografis." Tapi ini, menurut laporan itu, hanya omong kosong.
Sebaliknya, seperti yang dicatat dalam laporan tersebut, "Grup FTX hanya sedikit menggunakan cold storage" kecuali di Jepang, "di mana [diperlukan] oleh peraturan untuk menggunakannya".
Kunci Pribadi Dibiarkan Tidak Terenkripsi
Hal lain yang benar-benar bodoh yang dilakukan oleh pengintip FTX adalah menyimpan kunci kriptografi sensitif dan frase benih klien yang disimpan dalam dokumen teks biasa yang tampaknya dapat diakses oleh staf.
Di crypto, frase kunci atau seed adalah kata sandi yang membawa Anda ke dalam dompet individu pengguna. Cukuplah untuk mengatakan, standar industri memaksa pertukaran crypto untuk menjaga informasi itu dienkripsi dan, dengan demikian, aman dari pengintaian. Tidak demikian halnya dengan FTX—yang tampaknya menyimpan kunci yang dapat membuka dompet senilai puluhan juta dolar tanpa enkripsi, dalam teks biasa, tergeletak begitu saja di AWS.
Menurut laporan tersebut, ini adalah bagian tak terpisahkan dari pendekatan keamanan yang umumnya tidak terorganisir, di mana “kunci pribadi dan frase unggulan yang digunakan oleh FTX.com, FTX.US, dan Alameda disimpan di berbagai lokasi di seluruh lingkungan komputasi Grup FTX di cara yang tidak teratur, menggunakan berbagai metode yang tidak aman dan tanpa prosedur yang seragam atau terdokumentasi.”
Geng FTX Tidak Benar-Benar Menggunakan MFA
SBF dan kelompok hipsternya yang ceria juga tampaknya "gagal menerapkan penggunaan" autentikasi multi-faktor secara efektif—suatu bentuk keamanan web yang sangat mendasar yang diketahui oleh hampir semua orang yang bekerja di kantor. Laporan yang baru-baru ini dirilis menyatakan bahwa kepemimpinan pertukaran crypto “gagal menerapkan dengan cara yang tepat bahkan kontrol yang paling banyak diterima terkait dengan Manajemen Identitas dan Akses (“IAM”).” Ini termasuk kegagalan untuk menggunakan MFA serta layanan masuk tunggal—juga secara luas dianggap sebagai praktik terbaik industri.
Dan masih banyak lagi!
Cukuplah untuk mengatakan, ada banyak permata lucu lainnya dari kelalaian keamanan yang tampaknya telah dilakukan oleh FTX, jadi saya sarankan untuk membaca laporan lengkapnya jika Anda ingin rahang Anda jatuh ke lantai.
Binance strategically froze $4.2 million of stolen XRP, bolstering Ripple's recovery efforts and showcasing its commitment to security and collective resilience in the crypto community.
AlexBinance faces a lawsuit from a former Gaza hostage and families affected by a Hamas attack, accusing the exchange of financing terrorism. The legal battle sheds light on alleged links between Binance and illicit transactions, prompting a call for accountability in the cryptocurrency industry.
JoyElon Musk captivates with a “420” tweet, celebrates Neuralink's breakthrough “Telepathy” chip, and continues to redefine tech and social media landscapes.
BrianStarbucks Korea's game-changing NFT strategy, unveiled on Jan. 16, is not just reducing single-use cups by 600,000 but also rewarding eco-friendly sippers with exclusive digital artwork, setting a new standard in sustainable coffee experiences.
JoyJP Morgan criticizes Tether's market control, citing risks; Tether CEO defends, emphasizing regulatory cooperation and industry significance.
BrianThe Microsoft-OpenAI partnership, facing scrutiny from the Irish Council and international regulators, may set precedents for AI industry governance, market dynamics, and future tech alliances.
WeiliangCore Scientific emerges as North America's leading Bitcoin miner, overcoming bankruptcy to mine 19,274 Bitcoins, valued at $812 million in 2023.
MiyukiThe Thai SEC's suspension of Zipmex signals a critical juncture for crypto regulation, emphasizing the balance between market innovation and the need for stringent compliance and investor protection.
AlexDogecoin sees a network activity spike amid price uncertainties, as technical indicators and burgeoning interest create a mixed outlook for the meme-favored cryptocurrency.
BrianFacebook and Instagram may soon promote spot ETF ads, signaling a major shift in crypto acceptance and digital asset marketing strategies.
Brian