La bourse de crypto-monnaies Crypto.com a perdu près de 34 millions de dollars lors d’un récent incident de sécurité, selon un post-mortem publié jeudi.
Crypto.com, la quatrième plus grande bourse de crypto-monnaies du secteur, a finalement admis avoir perdu des fonds d’utilisateurs en raison d’une récente faille de sécurité.
Selon un billet de blog publié jeudi, l’incident a touché un total de 483 utilisateurs, entraînant des retraits non autorisés totalisant 4 836,26 Ethereum, 443,93 Bitcoin et environ 66 200 $ en autres crypto-monnaies, soit environ 33,84 millions de dollars aux prix actuels.
Crypto.com, basé à Singapour, a annoncé qu’il mettait en pause les retraits après qu’un « petit nombre d’utilisateurs ont connu une activité non autorisée sur leurs comptes » lundi, exhortant les clients à réinitialiser leur authentification à deux facteurs (2FA).
La société de sécurité Peckshield a révélé par la suite que l’incident avait fait perdre à Crypto.com au moins 4 600 ETH (environ 15 millions de dollars) de fonds d’utilisateurs, déclarant à Decrypt que l’ampleur des dégâts était « définitivement pire. »
Selon Peckshield, la moitié des fonds volés ont été envoyés à Tornado Cash, un service de mélange de crypto-monnaies qui permet aux utilisateurs d’obscurcir leurs transactions.
En outre, l’analyste de blockchain ErgoBTC a déclaré que les pirates ont réussi à s’enfuir avec environ 444 BTC, le nombre que Crypto.com a confirmé dans le post-mortem d’aujourd’hui.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Malgré les nombreuses preuves, Crypto.com a d’abord refusé de reconnaître le piratage, le PDG de la société, Kris Marszalek, affirmant qu' »aucun fonds de client n’a été perdu ».
Crypto.com CEO : « Les chiffres ne sont pas particulièrement importants «
Marszalek est apparu sur Bloomberg TV mercredi, confirmant finalement qu’environ 400 comptes clients avaient été compromis.
Selon lui, Crypto.com a rapidement interrompu les retraits après avoir détecté que « certaines des couches de défense avaient été violées », a corrigé le problème et a été « de nouveau en ligne en 13 à 14 heures environ ».
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Il a ajouté que le même jour, « tous les comptes affectés ont été remboursés, il n’y a donc pas eu de perte de fonds des clients ».
Lorsqu’on lui a posé la question de l’ampleur réelle des pertes subies par la bourse, M. Marszalek a déclaré que « compte tenu de l’échelle de l’entreprise, ces chiffres ne sont pas particulièrement importants. »
Le post-mortem de la société a confirmé que l’incident de sécurité s’est produit en raison de problèmes avec 2FA.
Crypto.com a déclaré qu’elle a également réorganisé et migré vers une infrastructure 2FA entièrement nouvelle, avec des jetons 2FA pour tous les utilisateurs révoqués « pour s’assurer que la nouvelle infrastructure était en vigueur ».
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
La bourse a introduit une couche supplémentaire de sécurité en ajoutant un délai obligatoire de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait sur liste blanche et le premier retrait de fonds.
Selon la société, cela donnera aux utilisateurs « un temps suffisant pour réagir et répondre » aux notifications indiquant que de nouvelles adresses de retrait ont été ajoutées.
Crypto.com a également annoncé le lancement du programme mondial de protection des comptes (WAPP), qui est « conçu pour protéger les fonds des utilisateurs dans les cas où un tiers obtient un accès non autorisé à leur compte et retire des fonds sans leur permission. »
Le WAPP offre la possibilité de restaurer des fonds jusqu’à 250 000 dollars. Elle s’accompagne néanmoins de plusieurs conditions pour en bénéficier, notamment l’obligation d’activer l’authentification multifactorielle et de mettre en place un code anti-phishing au moins 21 jours avant la transaction non autorisée signalée.
Les utilisateurs devront également déposer un rapport de police et remplir un questionnaire pour faciliter l’enquête médico-légale.
