بر اساس بخش‌های تازه پرونده ورشکستگی صرافی ارز دیجیتال FTX این صرافی ارز دیجیتال هیچ کارمند اختصاصی امنیت سایبری نداشت و دارایی‌های کاربران با حداقل تضمین‌های امنیتی محافظت می‌شد.

به تازگی مشخص شده صرافی محبوب ارزهای دیجیتال یعنی صرافی FTX که در نوامبر گذشته در بحرانی مالی اسیر شد و در شعله‌های آتش ورشکستگی سوخت تلاش بسیار کمی برای محافظت از ذخایر عظیم دارایی‌های دیجیتال مشتریان خود صرف کرده است. آخرین گزارش ورشکستگی شرکت نشان می‌دهد که علاوه بر مدیریت امور مالی به شکلی احمقانه، این صرافی کریپتو برخی از بدترین اقدامات امنیت سایبری قابل تصور را داشته که برای یک صرافی ارز دیجیتال شوخی است!

نوامبر گذشته صرافی FTX به جز ورشکستی و استعفای مدیران با یک هک بزرگ و سرقت 432 میلیون دلار دارایی دیجیتال روبه‌رو شد. در آن زمان جان ری (John Ray)، مدیر ارشد اجرایی جدید صرافی FTX که وظیفه آماده کردن این شرکت برای فرایند ورشکستگی را بر عهده داشت خبر این سرقت را تأیید کرد؛ هرچند عدد دقیق را اعلام نکرد. این اتفاق زمانی افتاد که مشخص شده بود FTX با 9 میلیارد دلار بدهی تنها 900 میلیون دلار سرمایه نقد شونده دارد.

در آن زمان، حادثه هک مانند یک خبر بدتر از بد به نظر می‌رسید، اما اکنون اطلاعات کمی دقیق‌تری برای این قسمت ماجرای FTX داریم. گزارش اخیر که به طور گسترده به بررسی شکست این صرافی ارز دیجیتال در زمینه حفاظت اطلاعات و امنیت اطلاعات دیجیتال کاربران می‌پردازد یک شاهکار کمدی است و شما را متعجب می‌کند که چگونه صرافی FTX زودتر هک نشد.

بر اساس گزارش‌های موجود تیم FTX در اجرای حداقل کنترل‌های امنیتی اساسی و پذیرفته‌شده برای محافظت از دارایی‌های کریپتو شکست خورد.

بر اساس پرونده افشا شده علی‌رغم اینکه FTX وظیفه محافظت از ده‌ها میلیارد دلار دارایی‌های رمزنگاری را بر عهده داشت، هیچ کارمند اختصاصی امنیت سایبری ندارد؛ چیزی که غیرممکن به نظر می‌رسد! صرافی ارز دیجیتال FTX هرگز زحمت استخدام یک CISO یا مدیر ارشد امنیت اطلاعات را برای مدیریت ریسک‌های امنیتی شرکت به خود نداد.

به جای استخدام نیروی متخصص امنیت صرافی FTX به دو تن از توسعه‌دهندگان نرم‌افزار شرکت تکیه کرد که طبق گزارش موجود آموزش رسمی و تخصصی در زمینه امنیت ندیده‌اند و شغلشان آن‌ها را با اولویت‌بندی امنیتی در تضاد قرار می‌دهد. در این گزارش آمده است:

گروه FTX هیچ مدیر ارشد امنیت اطلاعات مستقل، هیچ کارمندی با آموزش یا تجربه مناسب برای انجام مسئولیت‌های چنین نقشی، و هیچ فرایند مصوب و رسمی برای ارزیابی ریسک سایبری، اجرای سازوکارهای امنیتی یا پاسخگویی به حوادث سایبری در زمان وقوع نداشت. مانند بسیاری دیگر از موارد، تیم FTX به شدت کنترل‌های امنیت سایبری را از اولویت خارج کرد و نادیده گرفت.

مسلماً، بسیاری از شرکت‌های فناوری از کمبود نیروی انسانی در رابطه با امنیت سایبری رنج می‌برند، اما این واقعاً تنها زمانی قابل بخشش است که یک استارت‌آپ باشید و نیروی انسانی یا سرمایه لازم برای استخدام افراد شایسته را نداشته باشید؛ نه یک صرافی ارز دیجیتال که پول و سرمایه کافی دارد. در روزهای قبل از ورشکستی، ارزش FTX به 32 میلیارد دلار رسید. این عدد برای استخدام حداقل یک مدیر ارشد امنیتی کافی بود.

خبری از ذخیره‌سازی سرد نبود

یکی دیگر از کارهای واقعاً احمقانه‌ای که FTX انجام داد این بود که نتوانست دارایی‌های رمزنگاری کاربران خود را به صورت سرد ذخیره کند؛ یک رویه امنیتی استاندارد که اکثر صرافی‌های ارز دیجیتال مدعی پیروی از آن هستند.

به طور کلی، دارایی‌های کریپتو را می‌توان به دو روش جداگانه ذخیره کرد: «کیف پول‌های داغ» که حساب‌های مبتنی بر نرم‌افزار متصل به اینترنت هستند و «ذخیره‌سازی سرد» که یک فرم ذخیره‌سازی آفلاین و مبتنی بر سخت‌افزار است. ذخیره‌سازی سرد امن‌ترین روش تلقی می‌شود، در حالی که «کیف پول‌های داغ» خطرناک‌تر هستند، به خاطر اتصال به اینترنت با ریسک هک مواجه هستند.

منطق به ما می‌گوید شرکت‌ها به همان میزانی که برای نقدینگی حساب‌ها لازم است، ارز دیجیتال لازم را در کیف‌های داغ نگهداری می‌کنند، باید بقیه را به صورت سرد ذخیره کنند. با این حال، FTX این کار را انجام نداد. در عوض، این گزارش می‌گوید که «تقریباً تمام» دارایی‌های مشتریان FTX در کیف پول‌های داغ نگه‌داری می‌شد.

در این گزارش اخیر آمده است: «گروه FTX بدون شک متوجه نحوه عملکرد یک صرافی امن ارز دیجیتال بودند، زیرا وقتی از طرف اشخاص ثالث خواسته شد تا میزان استفاده از ذخیره‌سازی سرد را توضیح دهد کاملاً دروغ گفت.» از جمله SBF مدیر این صرافی ادعا کرد که دارایی‌های کاربران را به صورت سرد ذخیره می‌کنند. در یک نمونه دیگر این صرافی به سرمایه‌گذاران گفت که مطابق با بهترین شیوه‌های رایج در این صنعت، مقدار کمی از ارزهای دیجیتال را در کیف پول‌های داغ نگه می‌دارد؛ حرفی که مشخص شد مزخرف بوده است.

کلیدهای امنیتی خصوصی کاربران بدون رمز بودند

یکی دیگر از کارهای کاملاً احمقانه‌ای که FTX انجام داد این بود که کلیدهای رمزنگاری حساس و عبارات امنیتی اولیه مشتریان را در اسناد متنی ذخیره می‌کردند که ظاهراً توسط کارکنان قابل‌دسترسی بود؛ بدون هیچ رمزگذاری و امنیت اضافه!

در دنیای دارایی‌های دیجیتال، عبارت کلیدی یا اولیه رمز عبوری است که شما را به کیف پول فردی کاربر متصل می‌کند. استانداردهای صنعت صرافی‌های رمزنگاری را وادار می‌کنند تا این اطلاعات را رمزگذاری کنند. FTX تمام این کلیدهای را به صورت ساده و متنی حفظ می‌کرد.