Crypto.com, le quatrième plus grand échange de crypto-monnaies du secteur, a finalement admis avoir perdu des fonds d’utilisateurs en raison d’une récente violation de sécurité.

Selon un billet de blog publié jeudi, l’incident a touché un total de 483 utilisateurs, entraînant des retraits non autorisés totalisant 4 836,26 Ethereum, 443,93 Bitcoin et environ 66 200 $ en autres crypto-monnaies, soit environ 33,84 millions de dollars aux prix actuels.

La société Crypto.com, basée à Singapour, a annoncé qu’elle interrompait les retraits après qu’un « petit nombre d’utilisateurs aient subi des activités non autorisées sur leurs comptes » lundi, en invitant les clients à réinitialiser leur authentification à deux facteurs (2FA).

La société de sécurité Peckshield a révélé par la suite que l’incident avait fait perdre à Crypto.com au moins 4 600 ETH (environ 15 millions de dollars) de fonds d’utilisateurs, indiquant à également que l’ampleur des dégâts était « définitivement pire ».

Selon Peckshield, la moitié des fonds volés ont été envoyés à Tornado Cash, un service de mélange de crypto-monnaies qui permet aux utilisateurs de « nettoyer » leurs transactions par un mécanisme de découpage en une multitude de transaction un portefeuille avec des transactions d’autres utilisateurs.

En outre, l’analyste de blockchain ErgoBTC a déclaré que les pirates avaient réussi à s’enfuir avec environ 444 BTC, chiffre que Crypto.com a confirmé dans le post-mortem d’aujourd’hui.

Malgré ces nombreuses preuves, Crypto.com a d’abord refusé de reconnaître le piratage, le PDG de la société, Kris Marszalek, affirmant qu' »aucun fonds client n’a été perdu« .

Les propos du PDG de Crypto.com

Marszalek est apparu sur Bloomberg TV mercredi, confirmant finalement qu’environ 400 comptes clients avaient été compromis.

Selon lui, Crypto.com a rapidement interrompu les retraits après avoir détecté que « certaines des couches de défense avaient été violées », a corrigé le problème et a été « de nouveau en ligne en 13 à 14 heures environ. »

Il a ajouté que le même jour, « tous les comptes qui ont été affectés ont été remboursés, il n’y a donc pas eu de perte de fonds des clients. »

Pressé par la question de l’ampleur réelle des pertes subies par la bourse, Marszalek a déclaré que « compte tenu de l’échelle de l’entreprise, ces chiffres ne sont pas particulièrement importants. »

Le post-mortem de la société a confirmé que l’incident de sécurité s’est produit en raison de problèmes avec le mécanisme 2FA.

Crypto.com a déclaré avoir également réorganisé et migré vers une infrastructure 2FA entièrement nouvelle, avec des jetons 2FA pour tous les utilisateurs révoqués « pour s’assurer que la nouvelle infrastructure était en vigueur. »

La plateforme a introduit une couche supplémentaire de sécurité en ajoutant un délai obligatoire de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait sur liste blanche et le premier retrait de fonds.

Selon la société, cela donnera aux utilisateurs « un temps suffisant pour réagir et répondre » aux notifications indiquant que de nouvelles adresses de retrait ont été ajoutées.

Crypto.com a également annoncé le lancement du programme mondial de protection des comptes (WAPP), qui est « conçu pour protéger les fonds des utilisateurs dans les cas où un tiers obtient un accès non autorisé à leur compte et retire des fonds sans leur permission. »

Le WAPP offre la possibilité de restaurer des fonds jusqu’à 250 000 dollars. Elle s’accompagne néanmoins de plusieurs conditions pour en bénéficier, notamment l’obligation d’activer l’authentification multifactorielle et de mettre en place un code anti-phishing au moins 21 jours avant la transaction non autorisée signalée.

Les utilisateurs devront également déposer un rapport de police et remplir un questionnaire afin d’appuyer une enquête judiciaire.