Hack CryptoCom – Un butin multiplié par 2 qui dépasse les 30M$

Les attaques dont sont victimes les plateformes centralisées (CEX) sont moins nombreuses que celles qui concernent les protocoles de la DeFi. Et heureusement, car la sécurité des fonds déposés est censée être de leur unique responsabilité. Mais cela n’empêche pas certains exchanges de voir disparaître des fortunes lors de hacks aux montants toujours trop importants. Avec à chaque fois trois éléments essentiels pour en faire une « simple » mauvaise expérience pour les utilisateurs. Quel est le montant exact du préjudice. Comment les clients volés pourront être indemnisés pour les pertes occasionnées. Et quelle est la stratégie de communication appliquée par la plateforme afin de remédier au problème. Une dynamique où ne semble pas briller Crypto.com.

Les plateformes d’échange centralisées ne sont pas des lieux inviolables pour y déposer ses fonds en cryptomonnaies. Raison pour laquelle il est toujours préférable de les stocker soi-même sur une clé matérielle de type Ledger, afin de les mettre hors ligne (à froid). Une procédure utilisée par les exchanges eux-mêmes afin de sécuriser une partie des fonds dont ils ont la responsabilité. Mais avec cette nécessité de continuer à détenir de la liquidité « à chaud » afin de permettre le bon fonctionnement de leurs services de trading (entre autres). Et c’est très exactement là que le problème de sécurité réside.

Une réalité malheureusement régulièrement vérifiée lors de hacks qui viennent frapper ces forteresses numériques. Avec comme première piqure de rappel pour cette nouvelle année 2022, le cas de la plateforme LCX et une perte totale estimée à environ 8 millions de dollars début janvier. Des opérations qui finissent par prendre la forme d’une sorte de fatalité. Et dont la seule véritable question reste les dédommagements appliqués aux utilisateurs concernés. Mais également la stratégie de communication de l’exchange. Avec dans le tout récent cas de Crypto.com une volonté d’affirmer que « les fonds ne sont pas en danger », alors que le montant impliqué ne cesse d’augmenter.

Crypto.com victime d’un hack de 15 millions de dollars

L’information est apparue en début de semaine, lorsque des mouvements suspects ont été détectés sur la plateforme Crypto.com (CDC). Et comme à chaque fois, cette découverte n’émane par de l’exchange lui-même, mais bien d’observateurs extérieurs. Cela suite à l’apparition de retraits importants et répétés d’ETH vers un site d’anonymisation (mixeur) bien connu. Et dont l’une des premières estimations à rapidement fait état de plus de 4600 ETH ainsi détournés directement des comptes de ses utilisateurs. Soit plus de 15 millions de dollars au moment des faits, pour un total de 282 portefeuilles concernés. Mais visiblement rien de grave pour l’exchange.

« Nous avons un petit nombre d’utilisateurs signalant des activités suspectes sur leurs comptes. Nous allons suspendre les retraits sous peu, car notre équipe enquête. Tous les fonds sont en sécurité. »

CryptoCom

Car il s’est passé plusieurs heures avant que le compte Twitter de CryptoCom ne vienne affirmer que les fonds sont en sécurité. Une phrase répétée depuis comme une litanie. Alors que de toute évidence tout cela échappait totalement à son contrôle. Avec cette question récurrente dans tous les esprits : comment le hacker a-t-il pu contourner le service de sécurité à deux facteurs (2FA). Mais également les autorisations par mail nécessaires pour valider tout retrait de fonds hors de l’exchanges. Et quelques heures plus tard une autre surprise à propos de plusieurs centaines de BTC. Ces derniers de toute évidence également disparus suite à cette affaire.

Hack CryptoCom : 15 millions de dollars ou 30 millions ?

Car pendant que CryptoCom s’évertuait à affirmer que « aucun client n’a subi de perte de fonds » lors de cette attaque, le montant de butin a soudait été multiplié par 2. Et cela une nouvelle fois suite à une enquête externe, sans lien avec l’exchange. Ce dernier de toute évidence plus motivé à cacher qu’à assumer les faits. Avec à la clé, une facture alourdit de plus de 440 BTC (environ 18,5 millions de dollars) qui commence à lasser. En particulier face à une plateforme dont les informations officielles ne reflètent absolument pas la réalité des faits. Tout cela visible et transparent grâce à la technologie blockchain.

« Il faut ajouter 444 BTC au 4,6k ETH précédemment rapportés lors du hack de CryptoCom d’hier. Toujours aucune reconnaissance de perte, malgré d’importantes sorties du portefeuille de garde vers le Tornado Cash d’ETH et un tumbler BTC bien connu (comme détaillé ci-dessous) »

Ergo

Une découverte réalisée plus de 24h après le début de cette attaque. Et alors même que CryptoCom affirmait contrôler la situation suite à la suspension – un peu tardive – de tous les retraits. Au point d’affirmer dans le compte rendu post mortem publié ce matin que : « dans la majorité des cas, nous avons empêché les retraits non autorisés ». Et comme bilan officiel quelque peu contradictoire un total de 4 836,26 ETH, 443,93 BTC et environ 66 200 USD dans d’autres cryptomonnaies. Avec également cette indication plus rassurante d’un remboursement intégral et déjà effectué pour l’ensemble des clients concernés.

CryptoCom : Un programme mondial de protection des comptes

Une belle démonstration de déni de responsabilité dont la seule résolution semble se résumer à un remboursement immédiat, certes bienvenu. Mais tout en reposant sur cette faculté étrange de réussir à affirmer qu’aucune perte n’a été enregistrée dans cette affaire. Alors même que plus de 30 millions de dollars manquent à l’appel. En tout cas pour les fonds dont le détournement a été mis à jour par des analystes extérieurs à l’exchange.

Plateformes d'échange

Les 4 meilleures plateformes pour acheter des cryptomonnaies en 2023

Hugh B. - 16 Janv 2023 - 13:00

Il n'est jamais évident de faire son choix pour trouver la meilleure [...]

Lire la suite >>

« Je suis particulièrement satisfait de deux choses. Le soutien que nous avons reçu de la communauté à la fois publiquement et dans les DM. Et l’opportunité que cet incident nous a donnée de renforcer encore notre dispositif. Nous apprenons, nous nous améliorons, nous avançons sans nous décourager. »

Kris Marszalek, PDG CryptoCom

Une attaque qui fait mal à la crédibilité de la plateforme CryptoCom. Même (ou surtout) si son PDG a rapidement essayé de la transformer en une expérience positive. Avec comme tentative d’apaisement, l’annonce de la mise en place d’un programme mondial de protection des comptes (WAPP). Une sécurité supplémentaire un peu tardive, dont les détails restent à définir.