La plateforme d’échange de cryptomonnaies Crypto.com a perdu environ 34 millions de dollars suite à l’exploitation d’une faille de sécurité.
Crypto.com, la quatrième plus grande bourse d’échange de cryptomonnaies, a finalement reconnu avoir perdu une partie des fonds de ses utilisateurs du fait d’une faille de sécurité.
Dans un article publié ce jeudi, elle révèle que cet incident a affecté 483 utilisateurs. Les pirates sont ainsi parvenus à empocher 4 836,26 Ethers, 449,39 Bitcoins et environ 66 200 dollars d’autres tokens. Au total, ils ont dérobé l’équivalent d’environ 33,84 millions de dollars.
Crypto.com avait alors annoncé que « l’ensemble des fonds [était] en sécurité ».
1/2
Earlier today a small number of users experienced unauthorized activity in their accounts. All funds are safe.In an abundance of caution, security on all accounts is being enhanced, requiring users to :
-Sign back into their App & Exchange accounts
‑Reset their 2FA— Crypto.com (@cryptocom) January 17, 2022
La société de sécurité Peckshield avait ensuite révélé que l’incident avait fait perdre au moins 4 600 ETHs (environ 15 millions de dollars) à certains utilisateurs. Elle estimait qu’environ la moitié des actifs dérobés avaient été envoyés sur Tornado Cash, un service de « crypto-mixing » qui permet aux pirates d’obscurcir leurs transactions.
Selon l’entreprise spécialiste de l’analyse blockchain ErgoBTC, les hackers ont également empoché 444 BTC – un chiffre confirmé dans le récent article de Crypto.com :
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday’s @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH’s Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Malgré l’accumulation de preuves, Crypto.com avait dans un premier temps refusé de reconnaître le piratage. Kris Marszalek, le PDG de l’entreprise, avait déclaré « qu’aucun actif de clients n’avait été perdu ».
PDG de Crypto.com : « les utilisateurs affectés ont été remboursés »
Mercredi, le dirigeant était apparu sur Bloomberg TV, reconnaissant qu’environ 400 comptes de clients avaient été compromis.
Il a précisé que Crypto.com avait rapidement gelé les retraits après avoir détecté « une intrusion dans certaines de [ses] couches de défense ». La bourse d’échange avait ensuite trouvé une solution à cette faille, pour être « de retour en ligne au bout de 13 à 14 heures ».
JUST IN : CEO @cryptocom’s Kris Marszalek discusses the site’s recent hack with @BloombergTV’s @emilychangtv. « Customer funds were never at risk. » #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Kris Marszalek a ajouté que « l’ensemble des comptes qui ont été affectés ont été remboursés. Par conséquent, aucun client n’a perdu le moindre actif ».
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
La plateforme a également ajouté une nouvelle couche de sécurité en imposant un délai de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait et le retrait de fonds. Cette initiative devrait offrir aux utilisateurs « le temps nécessaire pour réagir et répondre » aux notifications les alertant de l’ajout d’une nouvelle adresse de retrait.