170 millions de dollars : la plateforme d’échange Bitgrail perd 17 millions de Nano (XRB) – Piratage ou « Exit Scam » ?

Après Coin­check, c’est au tour de la pla­te­forme d’é­change Bit­Grail de perdre subi­te­ment les fonds de ses uti­li­sa­teurs, avec la dis­pa­ri­tion de 17 mil­lions de Nano (XRB). Mais cette fois-ci, ils sont nom­breux à écar­ter la thèse d’un piratage.

Mise à jour du 11/02/2018 : comme l’a indi­qué un inter­naute sur Red­dit, la perte des XRB subie par Bit­Grail pour­rait être liée à l’ex­ploi­ta­tion d’une faille de sécu­ri­té que com­por­tait la plateforme.

Bit­Grail lost $170 mil­lion worth of Nano XRB tokens because… the checks for whe­ther you had a suf­fi­cient balance to with­draw were only imple­men­ted as client-side JavaS­cript https://t.co/XH5mbIWUno pic.twitter.com/WmCwj5gy8W

— Tony Arcie­ri (@bascule) 11 février 2018

Mise à jour du 12/02/2018 : John McA­fee a tenu à adres­ser ses excuses à Binance :

I would like to apo­lo­gize to Binance and to CEO Chang­peng Zhao for my part in the FUD regar­ding their outage last week. As a long time cyber secu­ri­ty pro­fes­sio­nal, my ins­tincts, cou­pled with nume­rous reports which were dubious in nature, over­rode my bet­ter judg­ment. For­give me.

— John McA­fee (@officialmcafee) 12 février 2018

L’équivalent de 170 millions de dollars disparaissent

Jus­qu’i­ci, Bit­Grail consti­tuait, d’a­près les don­nées four­nies par Coin­Mar­ket­Cap, la sixième pla­te­forme d’é­change la plus popu­laire pour le tra­ding de XRB.

Mais les volumes affi­chés pointent désor­mais à zéro. Avec une valeur d’é­change d’en­vi­ron 10 dol­lars pour le XRB, la perte totale subie par les uti­li­sa­teurs de Bit­Grail s’é­lève à 170 mil­lions de dol­lars.

Le pro­prié­taire de la pla­te­forme, Fran­ces­co Fira­no, qui se sur­nomme « The Bom­ber », aurait contac­té jeu­di les équipes de Nano pour les infor­mer de cette perte.

Hier, il publiait ce mes­sage sur la page d’ac­cueil de la plateforme :

Bit­grail S.r.l. tient à infor­mer ses uti­li­sa­teurs que des véri­fi­ca­tions internes ont mon­tré l’exis­tence de tran­sac­tions non auto­ri­sées, qui ont conduit à un défi­cit de 17 mil­lions de Nano – un mon­tant qui fai­sait par­tie du wal­let géré par Bit­grail S.r.l.

Afin d’ef­fec­tuer des véri­fi­ca­tions com­plé­men­taires, l’en­semble des acti­vi­tés seront tem­po­rai­re­ment sus­pen­dues (notam­ment les retraits et les dépôts). Cette pro­cé­dure est indis­pen­sable pour garan­tir la sécu­ri­té des utilisateurs.

Dans un article publié hier sur Medium, Nano a tenu à ras­su­rer les uti­li­sa­teurs. Ses équipes indiquent « avoir des rai­sons de pen­ser que la perte n’est pas due à un pro­blème lié au pro­to­cole de Nano », mais qu’il sem­ble­rait qu’elle soit liée « au logi­ciel de Bit­Grail ».

Piratage… ou « exit scam » ?

Mais cet article semble sur­tout remettre en ques­tion, à demi-mot, la réa­li­té d’un pira­tage.

« Nous avons désor­mais suf­fi­sam­ment de rai­sons de pen­ser que M. Fira­no a men­ti pen­dant une longue période à l’é­quipe de Nano Core, mais aus­si à la com­mu­nau­té, au sujet de la sol­va­bi­li­té de la pla­te­forme d’é­change Bitgrail ».

Car tout laisse à pen­ser qu’il s’a­gi­rait plu­tôt d’un « exit scam », comme l’ont indi­qué plu­sieurs inter­nautes sur Twitter :

Took lon­ger than I thought but @BitGrail exit scam is com­plete. ~17m $NANO $XRB “hacked” RIP https://t.co/krHcjIrKeF

— R.I.P. (@CryptoTrout) 9 février 2018

Dans des échanges pri­vés entre les deux par­ties, M. Fira­no aurait deman­dé à ce que soient appor­tées des modi­fi­ca­tions aux registres de Nano, afin de cou­vrir ce qu’il pré­sente comme un pira­tage :

De leur côté, les équipes de Nano lui avaient répon­du qu’une telle modi­fi­ca­tion n’é­tait « pas pos­sible », et qu’elle « ne cor­res­pon­dait pas à une direc­tion que nous sou­hai­tons emprun­ter ».

Nano/RaiBlocks Exchange Bit­Grail was hacked for over 17 Mil­lion $XRB. Owner of exchange asked Core Devs to change the led­ger and make him whole. Core Devs said no, contac­ted the police. https://t.co/kWC6u9Y7Qi

— Wha­le­pool (@whalepool) 9 février 2018

Nano a par ailleurs indi­qué qu’une enquête cri­mi­nelle avait été lancée :

« Notre équipe a contac­té les forces de l’ordre, et nous coopé­rons plei­ne­ment avec elles dans cette affaire. Nous pré­pa­rons touts les infor­ma­tions dont nous dis­po­sons, comme les don­nées de la blo­ck­chain, des cap­tures d’é­cran, ain­si que l’his­to­rique des conversations ».

Un inter­naute a décla­ré avoir décou­vert le compte sur lequel pour­raient se trou­ver une par­tie des XRB per­dus. « Tag­gé » Bit­Grail repre­sen­ta­tive 1, il conte­nait, lors de la rédac­tion de cet article, près de 4 mil­lions de XRB. On y voit des tran­sac­tions impor­tantes de XRB vers la pla­te­forme d’é­change Mer­ca­tox – des tran­sac­tions que l’in­ter­naute pré­sente comme étant « suspicieuses ».

« J’ai perdu 1,4 millions de dollars »

Sur Red­dit, un autre uti­li­sa­teur a lan­cé un « Ask me Any­thing » inti­tu­lé « J’ai per­du 174 000 Nanos (1,4 mil­lions de dol­lars) dans le pira­tage de Bit­grail ». L’u­ti­li­sa­teur fait preuve d’une atti­tude posi­tive face à la nou­velle de cette perte :

« J’ai déci­dé que la seule manière de gérer cette épreuve consis­tait a tour­ner rapi­de­ment la page, et à prendre des déci­sions solides. Dans des moments comme celui-ci, les émo­tions néga­tives sont inutiles. Je conti­nue­rai à inves­tir dans les cryp­to-mon­naies tant que je croi­rai dans leur poten­tiel. Et si ce poten­tiel était avé­ré, le fait de m’ar­rê­ter aujourd’­hui consti­tue­rait la pire déci­sion que je pour­rais prendre. Je serai à l’a­ve­nir bien plus pru­dent avec les pla­te­formes d’échange. »

Et pour arri­ver à une telle for­tune, cet inves­tis­seur n’a sans doute pas eu à miser plu­sieurs cen­taines de mil­liers de dollars.

Nano (XRB) avait pro­fi­té, à par­tir de la fin 2017, d’une flam­bée consé­quente, en dépas­sant les 37 dol­lars le 2 jan­vier der­nier. L’ac­tif ne s’é­chan­geait pour­tant encore qu’à 0,20 dol­lars en novembre 2017 :

Cet uti­li­sa­teur a indi­qué qu’il espé­rait ain­si pou­voir aider ceux qui, comme lui, avaient fait les frais de cette perte :

« J’es­père qu’a­vec cet AMA, je par­vien­drai à aider des gens qui ont per­du de l’argent à com­prendre com­ment ils peuvent réagir de manière saine. La seule chose que vous pou­vez faire, c’est de conti­nuer à prendre des déci­sions ration­nelles pour vous et pour les autres. Si l’argent vous fait faire des choses ter­ribles, c’est parce que les évé­ne­ments que vous subis­sez pèsent trop sur votre moral ».

Cette approche repré­sente sans doute la meilleure atti­tude à adop­ter face à une perte finan­cière consé­quente. Mais cer­tains réagissent mal­heu­reu­se­ment d’une toute autre manière : c’est le cas de ce jeune inves­tis­seur asia­tique, qui avait récem­ment déci­dé de mettre fin à ses jours suite au crash des marchés.

Des inquiétudes grandissantes

Nano (XRB), ancien­ne­ment connue sous le nom de Rai­blocks, ne s’ap­puie pas sur la tech­no­lo­gie blo­ck­chain, mais sur une archi­tec­ture « block-lat­tice ». C’est ce qu’il lui per­met, de manière ana­logue à IOTA, de pro­po­ser des tran­sac­tions ins­tan­ta­nées et gra­tuites, avec un réseau très peu gour­mand en énergie.

La perte de Bit­Grail, qui s’é­lève à 17 mil­lions de coins, repré­sente près de 13% de l’offre totale de XRB.

Notons que de nom­breux d’u­ti­li­sa­teurs s’at­ten­daient cer­tai­ne­ment à ne plus jamais revoir leurs XRB. Ils fai­saient part, depuis quelques jours, de leurs inquié­tudes, alors qu’ils ne par­ve­naient pas à reti­rer leurs fonds.

Si Bit­Grail, une pla­te­forme rela­ti­ve­ment obs­cure, était si popu­laire auprès des déten­teurs de Nano, c’est avant tout parce qu’elle avait été l’une des pre­mière à prendre en charge cette cryp­to-mon­naie, bien avant Binance ou Kucoin.

Sur Twit­ter, cer­tains inter­nautes insis­taient sur le fait qu’il n’exis­tait aucun pro­blème avec la cryp­to-mon­naie XRB – un actif qui sem­blait pour­tant faire les frais de cette affaire, en enre­gis­trant en début d’a­près-midi une baisse de 13% sur les der­nières 24 heures :

I lost a big per­cen­tage of my hol­dings as well and I am pis­sed as hell. But it seems like The Bom­ber was the scam­mer and there is no pro­blem with $XRB itself. So HODL, because the pro­duct is great.

Nothing beats ins­tant and free !

— Nano_XRB (@Nano_XRB) 10 février 2018

D’autres inves­tis­seurs en pro­fi­taient pour rap­pe­ler qu’il n’é­tait pas pru­dent de lais­ser ses cryp­to-mon­naies sur des pla­te­formes d’é­change :

Lost more than 4k $XRB $NANO bc of bit­grail scam ?

Take this as an example : never put too much money on an exchange.

Past year lost money on :
1. Btc‑e
2. Nicehash
3. Bitgrail

And I don’t think this was the last one ?

— Fun­tra­der (@Noobgettinrich) 10 février 2018

Réfé­rences : CCN, Coin­Mar­ket­Cap, Medium