Crypto.com reconnaît un piratage de plus de 34 millions $ en ETH et bitcoins
Attaque confirmée ! – C’était la très mauvaise rumeur (devenue une quasi-certitude) qui circulait depuis quelques jours dans la cryptosphère : Crypto.com admet désormais avoir bel et bien subit un hack. Le préjudice concernerait moins de 500 utilisateurs, mais porterait sur des milliers d’ethers (ETH), des centaines de bitcoins (BTC) et quelques autres cryptomonnaies.
Hémorragie d’ethers et de bitcoins chez Crypto.com
Depuis ce 17 janvier 2022, d’étranges et inquiétantes transactions liées à la plateforme Crypto.com ont été signalées par divers observateurs. Les équipes du site d’échange de cryptomonnaies avaient ensuite rapidement suspendu les retraits, renforçant les craintes d’un piratage.
Alors que diverses sociétés d’analyses commençaient déjà à chiffrer en millions de dollars le montant potentiel du préjudice, Crypto.com a finalement publié un rapport post-mortem confirmant l’attaque par des pirates.
Selon ce rapport, publié le 20 janvier 2022, ce qui est appelé par la plateforme comme « un incident » aurait touché un total de 483 utilisateurs. Quant aux actifs dérobés, il s’agirait de plus de 4 836 ETH (15,5 millions $), de près de 444 BTC (19 millions $), et d’environ 66 200 dollars d’autres cryptos.
Ce qui équivaudrait donc à un total d’environ 34,5 millions de dollars de crypto-actifs, au moment d’écrire ces lignes.
Un discours un peu trop rassurant ?
Dans son communiqué, Crypto.com prétend que ces « retraits non autorisés » auraient été « empêchés » dans la majorité des cas, et que les clients auraient été « entièrement remboursés ».
Pourtant, les recherches des analystes de PeckShield ont montré de leur côté que 4 600 ETH seraient allés droit dans le mixer Tornado Cash, afin de les mélanger avec d’autres transactions, en d’en faire perdre leur trace.
D’après Crypto.com, ces retraits auraient été approuvés sans qu’aucun contrôle de double authentification (2FA) n’ait été effectué par les propriétaires légitimes, ce qui a déclenché l’alerte et la suspension des retraits.
Le communiqué ajoute qu’une sécurité supplémentaire a été ajoutée sur tous les comptes le 18 janvier, fixant un délai obligatoire de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait et le premier retrait possible.
Crypto.com annonce également le lancement d’un programme mondial de protection des comptes (WAPP), qui offrirait à une garantie de 250 000 dollars en cas de vols de crypto-actifs sur les comptes de ses utilisateurs. Le déploiement du WAPP commencera le 1er février 2022, et exigera aux clients d’observer plusieurs règles de sécurité pour qu’ils soient qualifiés.
Les équipes de Crypto.com restent sinon bien silencieuses sur la nature exacte de cette faille de sécurité. Attaque externe de hackers, ou bien « inside job » d’un employé mal intentionné ? Alors que ces derniers mois la stratégie de Crypto.com s’orientait vers les riches clients institutionnels, il faut dire que cette mauvaise nouvelle tombe très très mal.