IRA Financial Trust, une plate-forme qui permet aux utilisateurs d’économiser pour leur retraite dans des actifs alternatifs comme la crypto-monnaie, poursuit l’échange de crypto-monnaie Gemini pour un prétendu échec à protéger ses clients d’un braquage qui a entraîné le vol de 36 millions de dollars en crypto. La plateforme financière s’associe à Gemini, propriété des jumeaux Winklevoss, Cameron et Tyler, pour permettre aux clients d’échanger et de stocker de la crypto-monnaie.

En février, l’IRA a été victime d’une attaque majeure qui a drainé les millions de fonds que les clients avaient stockés chez Gemini. L’entreprise aurait été écrasée, le fait d’appeler la police pour signaler un faux crime chez quelqu’un, lorsque la cyberattaque s’est produite. La police s’est présentée au siège de l’IRA dans le Dakota du Sud après de fausses informations faisant état d’un vol, tandis que de mauvais acteurs se sont enfuis avec des millions en crypto. A l’époque, une source proche de Gemini racontait CoinDesk qu’il n’a pas été piraté et qu’il met divers contrôles de sécurité à la disposition de ses partenaires.

« Gemini était au courant des risques liés aux actifs cryptographiques », indique la plainte de l’IRA. « En fait, il a construit son image publique autour de la soi-disant atténuation de ces risques. Mais comme tant d’autres choses dans le monde de la cryptographie, l’image de Gemini n’est que cela : une image. En réalité, Gemini écarte la sécurité lorsqu’il y a une chance de gagner plus de revenus.

Selon la plainte de l’IRA, les problèmes ont commencé lorsque Gemini « fortement a fait pression » sur l’entreprise pour qu’elle utilise l’API Gemini (Application Programming Interface) sur la plate-forme Web afin que ses systèmes puissent mieux gérer l’intégration des clients. Ceci, selon l’IRA, avait une « défaut fatal » sous la forme de la clé principale qui aurait permis aux détenteurs de « contourner » les protections de sécurité de Gemini, leur donnant la possibilité de « transférer et retirer des actifs cryptographiques sans obtenir l’autorisation de second facteur d’un client ». Gemini a fourni à l’IRA cette clé principale, mais l’IRA affirme qu’elle n’a jamais été informée de son « pouvoir », alléguant que Gemini l’a incluse nonchalamment dans des e-mails non sécurisés et non cryptés.

La plainte de l’IRA indique que des pirates ont mis la main sur sa clé principale et auraient pu « exploiter les vulnérabilités de l’API de Gemini ». Le résultat a été que de mauvais acteurs « ont transféré des dizaines de millions de dollars de Bitcoin et d’Ether appartenant à des centaines de clients sur un seul compte de retraite client, puis ont retiré tous ces actifs ».

L’IRA poursuit en affirmant que, lorsque l’attaque s’est produite, Gemini n’a pas gelé les comptes des clients en temps opportun. Étant donné que l’IRA n’a soi-disant pas reçu de numéro de téléphone qu’il pourrait utiliser pour contacter Gemini rapidement, il a plutôt eu recours à l’envoi de plusieurs e-mails qui ont rencontré un temps de réponse lent. (Gemini n’aurait gelé les comptes des clients que près de deux heures après que l’IRA a envoyé son premier e-mail.) L’IRA poursuit Gemini pour des dommages-intérêts qui seront déterminés lors du procès. Gemini n’a pas immédiatement répondu à Le bord demande de commentaire.

Gemini fait non seulement face à une poursuite de l’IRA, mais également de la Commodity Futures Trading Commission (CFTC), qui a intenté une action en justice contre la société pour avoir prétendument déformé certains détails de son contrat d’échange et à terme. La semaine dernière, Gemini a annoncé qu’il licenciait 10% de son personnel alors que le marché de la crypto-monnaie fait face à un ralentissement économique.