• Votre panier est vide.

  • LOGIN

Un rapport interne suggère des failles de sécurité lors du piratage de Crypto Exchange Bitfinex


Certains articles de veille peuvent faire l'objet de traduction automatique.


Bitfinex a déclaré à l’OCCRP que l’analyse était « incomplète » et « incorrecte » et qu’il y avait « des preuves de négligence… de la part d’autres contreparties qui ont conduit au piratage ». Bitgo a refusé de commenter. Ledger Lab n’a pas répondu à une demande de commentaire.

Le pirate a couvert ses traces avec un outil de destruction de données, utilisé pour supprimer définitivement les journaux et autres artefacts numériques qui auraient pu identifier le point d’entrée initial dans les systèmes Bitfinex, ce qui signifie qu’il n’est pas clair comment ils sont entrés dans les systèmes de l’échange, seules les faiblesses de sécurité qu’ils profité une fois à l’intérieur. Le transfert des plus de 119 000 bitcoins de plus de 2 000 comptes d’utilisateurs vers des portefeuilles sous le contrôle du voleur a pris un peu plus de trois heures. La crypto-monnaie est restée là pendant des mois jusqu’à ce que, à partir de janvier 2017, quelqu’un commence à envoyer de petites sommes en zigzagant via d’autres comptes. L’argent a finalement été encaissé ou utilisé pour effectuer de petits achats en ligne.

Les enquêteurs ont réussi à suivre l’argent et, six ans après le piratage, arrêté le couple accusé de blanchiment des bitcoins volés. Des téléphones portables, de faux passeports et des clés USB contenant les clés de sécurité électroniques du portefeuille contenant 3,9 milliards de dollars de bitcoins ont été trouvés sous le lit du couple dans leur appartement à New York. Tous deux ont plaidé non coupable et attendent leur procès.

Il n’est pas clair si les leçons du piratage Bitfinex ont conduit à des changements dans les procédures de l’entreprise. La société a déclaré à l’OCCRP que le rapport était « incorrect » et qu’il y avait « des preuves de négligence… de la part d’autres contreparties qui ont conduit au piratage ». Bitgo a refusé de commenter.

Karen A. Greenaway, ancienne agente du FBI et spécialiste de la crypto-monnaie, dit qu’elle pensait que les failles de sécurité de Bitfinex étaient dues à son désir de « réaliser plus de transactions plus rapidement » et ainsi d’augmenter les bénéfices. « Le fait que [Bitfinex] n’ont pas fourni de [public] Le rapport acceptant la responsabilité et remédiant aux failles de sécurité qui ont conduit au piratage en dit plus que tout aveu ou déni de leur part », a déclaré l’agent.

Les experts en sécurité affirment que l’industrie de la cryptographie est en général moins vulnérable au type de piratage relativement simple qui se produisait au moment de la violation de Bitfinex, mais que la taille et la complexité de l’industrie ont considérablement augmenté depuis lors.

« La surface qui doit être protégée pour Web3 est beaucoup plus grande que ce à quoi vous pourriez vous attendre », déclare Max Galka, fondateur et PDG de la société d’analyse blockchain Elementus. « Dans certains cas, ce qui pourrait apparaître comme un piratage de contrat intelligent pourrait en fait s’être produit à plusieurs degrés de séparation. »

Tout comme le bitcoin volé de Bitfinex a explosé en valeur, l’industrie de la cryptographie est elle-même désormais massive, mais les entreprises qui fournissent son infrastructure sont souvent plus axées sur la rapidité et l’exécution de nouvelles idées.

« Beaucoup d’entreprises de cryptographie ont de bonnes idées mais ne pensent tout simplement pas à la sécurité », déclare Hugh Brooks, directeur des opérations de sécurité de la société de sécurité blockchain CertiK. « Ils poursuivent la création d’une application Web3 jusqu’à ce qu’elle soit piratée. Seule une poignée d’applications réussissent même les vérifications les plus élémentaires.

Bien qu’il y ait eu des progrès, dit Brooks, les sociétés de cryptographie doivent investir beaucoup plus dans la sécurité. « Si vous êtes piraté ou faites une erreur, il ne s’agit pas seulement de certains noms d’utilisateur et mots de passe, il s’agit des économies d’une vie ou potentiellement d’une énorme somme d’argent », dit-il. « Lorsque vous avez affaire à l’Internet de l’argent, les enjeux sont d’autant plus importants. »

Cet article a été préparé en partenariat avec l’Organized Crime and Corruption Reporting Project, une plateforme de reportage d’investigation pour un réseau mondial de centres de médias et de journalistes indépendants.

Voir aussi :

mai 27, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)