Mớ hỗn độn bảo mật của FTX

 
tham hoa bao mat FTX anh 1

FTX, sàn giao dịch tiền mã hóa lớn thứ hai trên thế giới, đã sụp đổ trong một vụ bê bối tài chính vào tháng 11/2022. Sau sự kiện này, Sam Bankman-Fried cũng đã công bố hàng loạt vấn đề liên quan đến đế chế crypto. Dường như "những đứa trẻ Bahamas" không quan tâm gì đến bảo mật.

Theo đánh giá của Gizmodo, sàn giao dịch tiền mã hóa FTX có vấn đề an ninh mạng thuộc vào loại "tệ nhất có thể tưởng tượng ra" ngoài việc quản lý, sử dụng tài chính như một trò đùa.

Không có nhân viên an ninh mạng

Đây là thông tin có thể gây sửng sốt cho bất kỳ ai, kể cả những người không làm việc trong lĩnh vực công nghệ. FTX không có bất kỳ nhân viên an ninh mạng chuyên trách nào, mặc dù thực tế là họ được giao nhiệm vụ bảo vệ hàng chục tỷ USD tiền mã hóa của khách hàng.

Sam Bankman-Fried không bao giờ quan tâm đến việc thuê một CISO (giám đốc an ninh thông tin) để quản lý rủi ro của doanh nghiệp, theo hồ sơ Gizmodo tiếp cận được hôm 10/4. Thay vào đó, họ dựa vào 2 trong số các nhà phát triển phần mềm có sẵn của công ty, những người không được đào tạo chính thức về bảo mật và công việc của họ không thực sự ưu tiên bảo mật.

Theo hồ sơ, "Tập đoàn FTX không có CISO độc lập, không nhân viên được đào tạo hoặc có kinh nghiệm phù hợp với vai trò đó; không đánh giá rủi ro mạng, không thực hiện kiểm soát bảo mật hoặc ứng phó với sự cố mạng trong thời gian thực."

tham hoa bao mat FTX anh 2

Không có một nhân viên bảo mật chuyên biệt, Sàn giao dịch quản lý hàng tỷ USD tiền mã hóa. Ảnh: Bloomberg.

Theo báo cáo, FTX loại bỏ hoàn toàn các biện pháp kiểm soát an ninh mạng, trong khi về bản chất, toàn bộ hoạt động kinh doanh của công ty, bao gồm tài sản, cơ sở hạ tầng và tài sản trí tuệ, đều dựa trên mã máy tính và công nghệ.

Nhiều doanh nghiệp đang gặp vấn đề với việc thiếu nhân sự trình độ cao trong lĩnh vực an ninh mạng. Các công ty mới thành lập, chưa có đủ nhân sự hoặc thiếu nguồn lực tài chính để thuê chuyên gia có thể dễ dàng hiểu điều này.

Việc có một nhân viên chuyên trách về an ninh mạng là điều dễ dàng, đồng thời cũng là nhu cầu bức thiết, với FTX, sàn giao dịch được định giá lên tới 32 tỷ USD trước khi phá sản.

Ngó lơ tiêu chuẩn bảo mật cơ bản

Theo Gizmodo, một điều "thực sự ngớ ngẩn" của FTX là nó không giữ tiền mã hóa của người dùng trong "kho lạnh", phương pháp bảo mật tiêu chuẩn mà hầu hết các sàn giao dịch đều tuyên bố tuân thủ.

Có hai cách khác nhau để lưu trữ tiền mã hóa. "Ví nóng" là một tài khoản dựa trên phần mềm được kết nối với Internet, trong khi "kho lạnh" là một loại lưu trữ ngoại tuyến dựa trên phần cứng. Ví nóng được coi là phương pháp lưu trữ an toàn hơn vì chúng dễ bị tấn công khi kết nối với web, trong khi tủ lạnh có nhiều rủi ro hơn.

Công ty quản lý tài sản số thường chỉ giữ một lượng nhỏ tiền mã hóa trong ví nóng đủ để thanh khoản, trong khi phần còn lại giữ trong kho lạnh. Tuy nhiên, FTX không làm điều đó. Theo báo cáo, họ giữ "hầu như tất cả" tài sản của khách hàng trong ví nóng.

tham hoa bao mat FTX anh 3

Tại FTX, phần lớn các biện pháp bảo mật cơ bản cho sàn giao dịch tiền mã hóa không được áp dụng. Ảnh: KanawatTH.

Báo cáo nêu rõ, cùng với trích dẫn về việc các quản lý của FTX, bao gồm cả Sam Bankman-Fried, tuyên bố giữ tài sản của người dùng trong kho lạnh, "FTX chắc chắn nhận ra cách vận hành của một sàn giao dịch tiền mã hóa tiêu chuẩn, bởi vì khi được bên thứ 3 yêu cầu mô tả mức độ sử dụng kho lạnh, họ đã nói dối."

FTX từng nói với các nhà đầu tư rằng để phù hợp với các phương pháp tốt nhất trong ngành, họ giữ một lượng nhỏ tiền mã hóa trong ví nóng trong khi phần còn lại "lưu trữ ngoại tuyến trong máy tính xách tay được mã hóa, phân phối theo khu vực địa lý".

Không mã hóa khóa bí mật, bỏ qua xác thực đa yếu tố

Giữa bảo mật và cụm từ hạt giống của khách hàng trong các tài liệu văn bản gốc mà nhân viên có thể truy cập được là một sự thật khác về bảo mật của FTX sẽ khiến nhiều người ngạc nhiên.

(key) hoặc cụm từ hạt giống (seed phrase) là mật khẩu dẫn vào ví cá nhân của người dùng trong lĩnh vực tiền mã hóa. Để đảm bảo an toàn, sàn giao dịch phải mã hóa dữ liệu đó theo các tiêu chuẩn ngành.

Với FTX, dường như các có thể mở ví trị giá hàng chục triệu USD không được mã hóa và chỉ lưu ở dạng văn bản nằm rải rác trong máy chủ AWS.

tham hoa bao mat FTX anh 4

FTX không mã hóa các bảo mật cơ bản và không sử dụng xác thực đa yếu tố. Ảnh: Cointribune.

Báo cáo tuyên bố rằng đây là một thành phần của phương pháp bảo mật "vô tổ chức". Trong đó "các riêng tư và cụm từ gốc được FTX.com, FTX.US và Alameda lưu trữ ở nhiều vị trí khác nhau trong môi trường máy tính của FTX trong một cách vô tổ chức, sử dụng nhiều phương pháp không an toàn và không có bất kỳ quy trình thống nhất hoặc tài liệu hướng dẫn nào."

Việc sử dụng xác thực đa yếu tố (MFA), một loại bảo mật web rất đơn giản mà tất cả những người làm việc trong văn phòng đều biết, không hiệu quả như SBF và "nhóm hipster vui vẻ" của nhân vật này.

Theo báo cáo, ban lãnh đạo của sàn giao dịch FTX "không triển khai một cách phù hợp ngay cả các biện pháp kiểm soát được chấp nhận rộng rãi nhất, liên quan đến quản lý danh tính và truy cập (IAM)", chẳng hạn như không sử dụng MFA và dịch vụ đăng nhập một lần, một trong những phương pháp bảo mật tốt nhất trong ngành.

Để ngăn chặn hiểu lầm và hiểu sai về blockchain, chúng tôi đã làm điều này để ngăn chặn việc hiểu sai và hiểu sai về nó.

Mặc dù nó có tiềm năng thay đổi nhiều ngành công nghiệp, nhưng blockchain vẫn là một lĩnh vực rất mới. Phần lớn người quan sát nghĩ rằng blockchain liên kết với tiền mã hóa cùng hàng loạt bê bối trong thị trường này, nhưng thực chất công nghệ chuỗi khối rộng hơn nhiều.

Để giúp độc giả tìm hiểu thêm về công nghệ được đánh giá cao hiện nay, mục Công nghệ giới thiệu những bài viết, cuốn sách hay nhất về blockchain.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống