بر اساس بخشهای تازه پرونده ورشکستگی صرافی ارز دیجیتال FTX این صرافی ارز دیجیتال هیچ کارمند اختصاصی امنیت سایبری نداشت و داراییهای کاربران با حداقل تضمینهای امنیتی محافظت میشد.
به تازگی مشخص شده صرافی محبوب ارزهای دیجیتال یعنی صرافی FTX که در نوامبر گذشته در بحرانی مالی اسیر شد و در شعلههای آتش ورشکستگی سوخت تلاش بسیار کمی برای محافظت از ذخایر عظیم داراییهای دیجیتال مشتریان خود صرف کرده است. آخرین گزارش ورشکستگی شرکت نشان میدهد که علاوه بر مدیریت امور مالی به شکلی احمقانه، این صرافی کریپتو برخی از بدترین اقدامات امنیت سایبری قابل تصور را داشته که برای یک صرافی ارز دیجیتال شوخی است!
نوامبر گذشته صرافی FTX به جز ورشکستی و استعفای مدیران با یک هک بزرگ و سرقت 432 میلیون دلار دارایی دیجیتال روبهرو شد. در آن زمان جان ری (John Ray)، مدیر ارشد اجرایی جدید صرافی FTX که وظیفه آماده کردن این شرکت برای فرایند ورشکستگی را بر عهده داشت خبر این سرقت را تأیید کرد؛ هرچند عدد دقیق را اعلام نکرد. این اتفاق زمانی افتاد که مشخص شده بود FTX با 9 میلیارد دلار بدهی تنها 900 میلیون دلار سرمایه نقد شونده دارد.
در آن زمان، حادثه هک مانند یک خبر بدتر از بد به نظر میرسید، اما اکنون اطلاعات کمی دقیقتری برای این قسمت ماجرای FTX داریم. گزارش اخیر که به طور گسترده به بررسی شکست این صرافی ارز دیجیتال در زمینه حفاظت اطلاعات و امنیت اطلاعات دیجیتال کاربران میپردازد یک شاهکار کمدی است و شما را متعجب میکند که چگونه صرافی FTX زودتر هک نشد.
بر اساس گزارشهای موجود تیم FTX در اجرای حداقل کنترلهای امنیتی اساسی و پذیرفتهشده برای محافظت از داراییهای کریپتو شکست خورد.
بر اساس پرونده افشا شده علیرغم اینکه FTX وظیفه محافظت از دهها میلیارد دلار داراییهای رمزنگاری را بر عهده داشت، هیچ کارمند اختصاصی امنیت سایبری ندارد؛ چیزی که غیرممکن به نظر میرسد! صرافی ارز دیجیتال FTX هرگز زحمت استخدام یک CISO یا مدیر ارشد امنیت اطلاعات را برای مدیریت ریسکهای امنیتی شرکت به خود نداد.
به جای استخدام نیروی متخصص امنیت صرافی FTX به دو تن از توسعهدهندگان نرمافزار شرکت تکیه کرد که طبق گزارش موجود آموزش رسمی و تخصصی در زمینه امنیت ندیدهاند و شغلشان آنها را با اولویتبندی امنیتی در تضاد قرار میدهد. در این گزارش آمده است:
گروه FTX هیچ مدیر ارشد امنیت اطلاعات مستقل، هیچ کارمندی با آموزش یا تجربه مناسب برای انجام مسئولیتهای چنین نقشی، و هیچ فرایند مصوب و رسمی برای ارزیابی ریسک سایبری، اجرای سازوکارهای امنیتی یا پاسخگویی به حوادث سایبری در زمان وقوع نداشت. مانند بسیاری دیگر از موارد، تیم FTX به شدت کنترلهای امنیت سایبری را از اولویت خارج کرد و نادیده گرفت.
مسلماً، بسیاری از شرکتهای فناوری از کمبود نیروی انسانی در رابطه با امنیت سایبری رنج میبرند، اما این واقعاً تنها زمانی قابل بخشش است که یک استارتآپ باشید و نیروی انسانی یا سرمایه لازم برای استخدام افراد شایسته را نداشته باشید؛ نه یک صرافی ارز دیجیتال که پول و سرمایه کافی دارد. در روزهای قبل از ورشکستی، ارزش FTX به 32 میلیارد دلار رسید. این عدد برای استخدام حداقل یک مدیر ارشد امنیتی کافی بود.
خبری از ذخیرهسازی سرد نبود
یکی دیگر از کارهای واقعاً احمقانهای که FTX انجام داد این بود که نتوانست داراییهای رمزنگاری کاربران خود را به صورت سرد ذخیره کند؛ یک رویه امنیتی استاندارد که اکثر صرافیهای ارز دیجیتال مدعی پیروی از آن هستند.
به طور کلی، داراییهای کریپتو را میتوان به دو روش جداگانه ذخیره کرد: «کیف پولهای داغ» که حسابهای مبتنی بر نرمافزار متصل به اینترنت هستند و «ذخیرهسازی سرد» که یک فرم ذخیرهسازی آفلاین و مبتنی بر سختافزار است. ذخیرهسازی سرد امنترین روش تلقی میشود، در حالی که «کیف پولهای داغ» خطرناکتر هستند، به خاطر اتصال به اینترنت با ریسک هک مواجه هستند.
منطق به ما میگوید شرکتها به همان میزانی که برای نقدینگی حسابها لازم است، ارز دیجیتال لازم را در کیفهای داغ نگهداری میکنند، باید بقیه را به صورت سرد ذخیره کنند. با این حال، FTX این کار را انجام نداد. در عوض، این گزارش میگوید که «تقریباً تمام» داراییهای مشتریان FTX در کیف پولهای داغ نگهداری میشد.
در این گزارش اخیر آمده است: «گروه FTX بدون شک متوجه نحوه عملکرد یک صرافی امن ارز دیجیتال بودند، زیرا وقتی از طرف اشخاص ثالث خواسته شد تا میزان استفاده از ذخیرهسازی سرد را توضیح دهد کاملاً دروغ گفت.» از جمله SBF مدیر این صرافی ادعا کرد که داراییهای کاربران را به صورت سرد ذخیره میکنند. در یک نمونه دیگر این صرافی به سرمایهگذاران گفت که مطابق با بهترین شیوههای رایج در این صنعت، مقدار کمی از ارزهای دیجیتال را در کیف پولهای داغ نگه میدارد؛ حرفی که مشخص شد مزخرف بوده است.
کلیدهای امنیتی خصوصی کاربران بدون رمز بودند
یکی دیگر از کارهای کاملاً احمقانهای که FTX انجام داد این بود که کلیدهای رمزنگاری حساس و عبارات امنیتی اولیه مشتریان را در اسناد متنی ذخیره میکردند که ظاهراً توسط کارکنان قابلدسترسی بود؛ بدون هیچ رمزگذاری و امنیت اضافه!
در دنیای داراییهای دیجیتال، عبارت کلیدی یا اولیه رمز عبوری است که شما را به کیف پول فردی کاربر متصل میکند. استانداردهای صنعت صرافیهای رمزنگاری را وادار میکنند تا این اطلاعات را رمزگذاری کنند. FTX تمام این کلیدهای را به صورت ساده و متنی حفظ میکرد.