L’identité de 5000 utilisateurs de TokenSoft en danger ?

Vos identités en danger – À l’origine, les cryptomonnaies ont été fondées sur des concepts de pseudonymat et de vie privée. Cependant, en parallèle de la démocratisation, le recours aux vérifications d’identités est de plus en plus fréquent. Une situation qui peut s’avérer critique pour la vie privée en cas de publication des données.

Tokensoft et son Soft DAO

Tokensoft est une plateforme de type launchpad hébergée sur Ethereum. Celle-ci permet d’organiser des préventes de jetons en amont du lancement de projets crypto.

Le 31 août dernier, le projet Tokensoft a décidé d’évoluer en annonçant la création d’une DAO intitulée The Soft DAO. L’objectif de cette DAO est d’aider les projets crypto naissants à se structurer. 

Tokensoft annonce The Soft DAO.
Tokensoft annonce The Soft DAO.

« Nous pensons que The Soft DAO peut fournir l’infrastructure de coordination communautaire appropriée, équitable et décentralisée pour aider à catalyser une croissance autonome décentralisée sans les pièges et les inefficacités des organisations traditionnelles. »

Comme toute DAO, The Soft DAO dispose de son propre jeton de gouvernance : le SOFT. Par la suite, les équipes de The Soft DAO ont annoncé que le jeton serait lancé via un airdrop communautaire

« Nous sommes heureux d’annoncer que nous avons commencé les enregistrements de comptes pour “The Soft Drop”. Un airdrop de jetons $SOFT dans le cadre de l’initiative communautaire de la DAO. L’allocation est destinée à récompenser les supporters fidèles ainsi que les membres actifs de la communauté. »

Cependant, pour éviter les attaques sybils, The Soft DAO a mis en place un système de vérification d’identité.

Pour rappel, une attaque sybil vise à créer plusieurs identités au sein d’un système. Celles-ci sont couramment utilisées dans le cadre d’airdrop, pour qu’un utilisateur puisse bénéficier plusieurs fois de l’allocation.

>> Vous cherchez une plateforme crypto dûment régulée ? Inscrivez-vous sur Binance (lien commercial) <<

Tokensoft dévoile les informations de ses utilisateurs

Cependant, le 12 novembre, cette histoire a pris une tournure bien surprenante. En effet, nous avons appris grâce à l’alerte lancée par @cryptogle sur Twitter que les équipes de Tokensoft avaient dévoilé les informations personnelles de plus de 5 000 utilisateurs. 

« L’entreprise TokensoftInc vient de dévoiler le contenu du KYC d’environ 5 000 utilisateurs – noms complets, adresses des portefeuilles et adresses IRL – parce qu’ils pensent qu’il s’agit de “mauvais acteurs” tentant de profiter du airdrop. »

Ainsi, les équipes ont publié les informations personnelles de milliers d’utilisateurs, volontairement. Une manœuvre qui manque cruellement d’éthique et de respect pour ses utilisateurs. 

Qu’ils décident de ne pas distribuer l’airdrop à ces utilisateurs, car leur système de détection a mis en évidence une tentative d’attaque sybil est une chose. Néanmoins, la publication des données personnelles pour “punir” les utilisateurs en est une autre. 

De surcroît, cette manœuvre peut s’avérer totalement illégale dans un bon nombre de pays, comme l’a souligné notre internaute. 

« Je ne sais pas où ils sont basés, mais le doxing est illégal dans de nombreux endroits, tout comme la divulgation d’informations personnelles sur les clients – ce n’est pas seulement sale, mais potentiellement dangereux pour les victimes et les chefs de projet eux-mêmes. »

« Une erreur de fichier »

Après un long silence, les équipes de Tokensoft ont finalement apporté plus d’explications à l’affaire. 

Ainsi, il semblerait que le mauvais fichier ait été publié sur le Discord du projet. En effet, Tokensoft voulait initialement publier un fichier ne présentant que les adresses Ethereum exclues du airdrop.

Explications publiées par Tokensoft.
Explications publiées par Tokensoft.

« Hier, nous avons été informés que des informations avaient été publiées par erreur sur les canaux de médias sociaux de Tokensoft. Nous prenons toutes les mesures nécessaires pour nous assurer que l’erreur technique est résolue. Nous comprenons que les clients et utilisateurs de Tokensoft nous confient des informations sensibles et nous prenons cette responsabilité très au sérieux. Cet événement n’a pas respecté les normes de Tokensoft et nous avons apporté des changements au niveau du personnel et des opérations afin de respecter les normes de confidentialité de Tokensoft avec le soin et la considération que nous et nos clients attendons. Nous contacterons prochainement tous les membres concernés. »

Quoi qu’il en soit, le mal est fait et les informations ont d’ores et déjà dû être sauvegardées à de nombreux endroits. Celles-ci vont probablement finir dans des bases de données destinées à mener des attaques de type phishing. 

Une situation dont nous nous serions bien passés, notamment en cette période sombre pour les cryptomonnaies. En effet, l’écosystème est ébranlé par la chute de FTX et les diverses révélations liées à l’affaire.

Que vous soyez amateur de DeFi, de Bitcoin ou d’une des cryptomonnaies qui peuplent le marché, il est indispensable que vous disposiez d’un compte sur Binance, l’acteur majeur de l’écosystème du trading (lien commercial)

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.