Aspect Légal Piratage

Piratage de Crypto.com : la bourse d’échange reconnaît s’être fait dérober 34 millions de dollars d’actifs

Plateforme Crypto.com

La pla­te­forme d’é­change de cryp­to­mon­naies Crypto.com a per­du envi­ron 34 mil­lions de dol­lars suite à l’ex­ploi­ta­tion d’une faille de sécurité.

Crypto.com, la qua­trième plus grande bourse d’é­change de cryp­to­mon­naies, a fina­le­ment recon­nu avoir per­du une par­tie des fonds de ses uti­li­sa­teurs du fait d’une faille de sécurité.

Dans un article publié ce jeu­di, elle révèle que cet inci­dent a affec­té 483 uti­li­sa­teurs. Les pirates sont ain­si par­ve­nus à empo­cher 4 836,26 Ethers, 449,39 Bit­coins et envi­ron 66 200 dol­lars d’autres tokens. Au total, ils ont déro­bé l’é­qui­valent d’en­vi­ron 33,84 mil­lions de dollars.

Lun­di, la pla­te­forme basée à Sin­ga­pour avait annon­cé qu’elle met­tait en pause les retraits de cryp­to-actifs. Elle avait expli­qué « qu’un petit nombre d’u­ti­li­sa­teurs avaient enre­gis­tré une acti­vi­té non auto­ri­sée sur leurs comptes », appe­lant ses clients à réini­tia­li­ser leur dis­po­si­tif d’au­then­ti­fi­ca­tion à deux facteurs.

Crypto.com avait alors annon­cé que « l’en­semble des fonds [était] en sécurité ».

La socié­té de sécu­ri­té Peck­shield avait ensuite révé­lé que l’in­ci­dent avait fait perdre au moins 4 600 ETHs (envi­ron 15 mil­lions de dol­lars) à cer­tains uti­li­sa­teurs. Elle esti­mait qu’en­vi­ron la moi­tié des actifs déro­bés avaient été envoyés sur Tor­na­do Cash, un ser­vice de « cryp­to-mixing » qui per­met aux pirates d’obs­cur­cir leurs transactions.

Selon l’en­tre­prise spé­cia­liste de l’a­na­lyse blo­ck­chain ErgoBTC, les hackers ont éga­le­ment empo­ché 444 BTC – un chiffre confir­mé dans le récent article de Crypto.com :

Mal­gré l’ac­cu­mu­la­tion de preuves, Crypto.com avait dans un pre­mier temps refu­sé de recon­naître le pira­tage. Kris Mars­za­lek, le PDG de l’en­tre­prise, avait décla­ré « qu’au­cun actif de clients n’a­vait été perdu ».

PDG de Crypto.com : « les utilisateurs affectés ont été remboursés »

Mer­cre­di, le diri­geant était appa­ru sur Bloom­berg TV, recon­nais­sant qu’en­vi­ron 400 comptes de clients avaient été compromis.

Il a pré­ci­sé que Crypto.com avait rapi­de­ment gelé les retraits après avoir détec­té « une intru­sion dans cer­taines de [ses] couches de défense ». La bourse d’é­change avait ensuite trou­vé une solu­tion à cette faille, pour être « de retour en ligne au bout de 13 à 14 heures ».

Kris Mars­za­lek a ajou­té que « l’en­semble des comptes qui ont été affec­tés ont été rem­bour­sés. Par consé­quent, aucun client n’a per­du le moindre actif ».

Selon l’ar­ticle de la socié­té, cet inci­dent serait lié à une faille concer­nant l’au­then­ti­fi­ca­tion à deux fac­teurs. Crypto.com a ain­si indi­qué avoir migré vers une nou­velle infra­struc­ture d’authentification.

La pla­te­forme a éga­le­ment ajou­té une nou­velle couche de sécu­ri­té en impo­sant un délai de 24 heures entre l’en­re­gis­tre­ment d’une nou­velle adresse de retrait et le retrait de fonds. Cette ini­tia­tive devrait offrir aux uti­li­sa­teurs « le temps néces­saire pour réagir et répondre » aux noti­fi­ca­tions les aler­tant de l’a­jout d’une nou­velle adresse de retrait.

Enfin, Crypto.com a annon­cé le lan­ce­ment du World­wide Account Pro­tec­tion Pro­gram (WAPP). Objec­tif : « pro­té­ger les fonds des uti­li­sa­teurs au cas où une tierce par­tie par­vien­drait à obte­nir un accès non auto­ri­sé à leur compte et à reti­rer des fonds sans leur per­mis­sion ». Le WAPP offre des garan­ties pou­vant aller jus­qu’à 250 000 dol­lars. Plu­sieurs condi­tions doivent tou­te­fois être réunies pour en béné­fi­cier, comme la mise en place d’une authen­ti­fi­ca­tion à deux fac­teurs ou d’un code « anti-phishing ».

Rate this post
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires