Otro trabajo interno en Shapeshift le costó a la compañía casi 1 millón de dólares
Tras el robo y la devolución de USD 900,000 en Bitcoin (BTC), Shapeshift ahora está demandando daños en los tribunales contra su ex ingeniero de software senior, Azamat Mukhiddinov.
“Hubo una pérdida significativa de tiempo y costos legales asociados con la limpieza”, dijo a Cointelegraph la directora legal de Shapeshift, Veronica McGregor, y señaló que los fondos de los clientes estaban seguros durante toda la prueba. “ShapeShift no tiene custodia, por lo que los fondos de los clientes nunca estuvieron en riesgo”, dijo.
Trabajando en un puesto de alto nivel para Shapeshift, Mukhiddinov supuestamente usó su acceso al backend del exchange para robar aproximadamente 90 BTC, por un valor de casi USD 900,000 en mayo de 2020 en el momento del robo, según una demanda legal presentada por Shapeshift el 26 de agosto 2020.
“Azamat comenzó a robar bitcoins en noviembre de 2019 y continuó hasta que se descubrió su robo el 21 de mayo de 2020”, dice el documento.
Mukhiddinov comenzó a trabajar en Shapeshift el 4 de septiembre de 2018 como ingeniero de software senior de la empresa. Shapeshift le dio a Mukhiddinov acceso a gran parte de su funcionamiento interno privado y sensible, descrito como “infraestructura informática” en la demanda, que incluía aspectos como el software y los servidores de la empresa.
Shapeshift encargó a Mukhiddinov que supervisara el backend de sus servicios, lo que incluía fortalecer sus defensas contra posibles amenazas, detalla el documento. Antes de comenzar a trabajar en la empresa, Mukhiddinov habría firmado documentos, uno de los cuales señalaba que no debía aprovechar estos importantes sistemas privados.
Las pautas también prohibieron específicamente al empleado agregar aplicaciones al sistema sin el consentimiento de la empresa, según la demanda. Mukhiddinov, sin embargo, puso su propio software en su lugar dentro del sistema, disfrazado para operar desapercibido, con el fin de robar Bitcoin de Shapeshift.
El software supuestamente exportaba aproximadamente 0.5 BTC a la vez en posesión de Mukhiddinov, aprovechando una vulnerabilidad de seguridad en el backend de Shapeshift.
El equipo de Shapeshift finalmente notó las monedas que faltaban y, después de que una investigación condujera a Mukhiddinov, hablaron con el ex ingeniero el 25 de mayo de 2020. “Azamat admitió haber instalado y ejecutado el programa que robó el bitcoin de la Compañía”, indica el documento.
“Finalmente, Azamat devolvió, de una forma u otra, todos los USD 900.000 en bitcoins que había robado”, detalla la denuncia legal. “Estos pagos, sin embargo, no compensan a ShapeShift por el daño causado por las acciones de Azamat”.
La demanda de Shapeshift contra Mukhiddinov busca una indemnización por la extensa investigación sobre el asunto, incluido el tiempo y los recursos invertidos en la empresa. Según los informes, la compañía también tuvo que retrasar el lanzamiento de su aplicación móvil varios meses. “La nueva aplicación móvil ShapeShift se lanzó en julio”, dijo McGregor, y agregó: “Es una interfaz de auto-custodia de criptos con trading integrado”.
Esta no es la primera vez que ocurre un trabajo interno en Shapeshift. Otro incidente en 2016 ascendió a cientos de miles de dólares robados. McGregor no observó ninguna correlación entre el incidente de 2016 y el asunto de este año.
“Después del incidente de 2016, implementamos pasos importantes de monitoreo, seguridad operativa y procedimientos”, explicó. “Este trabajo nos ayudó a atrapar al culpable y pudimos recuperar toda la propiedad robada directamente”.
Shapeshift ha estado activo en el espacio cripto desde 2013. Fue fundado por Erik Vorhees, quien está catalogado por Cointelegraph como la 37ª persona más importante en cripto y blockchain.
Sigue leyendo: