Dans le contexte: Il y a quelques jours, nous avons signalé que la plateforme de trading de crypto-monnaie Crypto.com avait été piratée, les analystes prédisant qu’environ 14 millions de dollars de jetons Ethereum avaient été perdus dans le processus. Le PDG de la société, Kris Marszalek, a par la suite minimisé l’incident, affirmant qu' »aucun fonds client n’a été perdu ». Après que son équipe a mené une enquête interne, cependant, il semble que cette déclaration n’était pas tout à fait vraie.

Crypto.com a publié un rapport de sécurité complet sur son site Web détaillant exactement combien de devises ont été perdues dans le cadre du piratage. La société a également brièvement expliqué comment et quand elle a détecté le piratage pour la première fois et a énuméré les mesures qu’elle a prises et qu’elle prendra pour mieux protéger ses utilisateurs à l’avenir.

Pour commencer, non seulement les fonds des clients étaient les plus assurément perdu malgré l’affirmation contraire du PDG, mais cette perte était nettement supérieure aux 14 millions de dollars initialement prévus par la société d’analyse de données PeckShield. Selon l’échange, 483 utilisateurs de Crypto.com ont été touchés par le piratage, avec 4 836,26 ETH (15,3 millions de dollars), 443,93 BTC (18,8 millions de dollars) et environ 66 200 USD perdus au total. Si vous n’avez pas envie de faire le calcul, cela représente une perte d’environ 34,1 millions de dollars.

Nous venons de publier un rapport d’incident complet qui résume ce qui s’est passé et comment nous l’avons résolu. Les 483 comptes concernés ont été entièrement remboursés, c’est-à-dire. aucune perte de fonds pour le client.

Nous lançons également un programme mondial de protection de compte de 250 000 USD couvrant les fonds détenus chez nous. https://t.co/8SHGaaoaCn

—Kris | Crypto.com (@Kris_HK) 20 janvier 2022

Pour être clair, Crypto.com n’a pas simplement réduit ses pertes et couru ici. Tous les clients concernés ont déjà été remboursés ; un fait que Marszalek a utilisé pour justifier son affirmation initiale selon laquelle « aucun fonds client n’a été perdu ».

Alors, comment est-ce arrivé en premier lieu? Crypto.com indique que la violation a été détectée il y a trois jours, le 17 janvier, par ses « systèmes de surveillance des risques ». Les systèmes ont remarqué que des transactions avaient lieu sur un « petit nombre » de comptes d’utilisateurs sans que lesdits utilisateurs saisissent leurs codes 2FA. Les retraits ont été immédiatement suspendus pendant l’enquête de Crypto.com, et tous les jetons 2FA ont été révoqués.

Pour renforcer sa sécurité, Crypto.com indique qu’il est déjà passé à une nouvelle infrastructure 2FA et a ajouté un délai obligatoire de 24 heures entre le moment où un utilisateur enregistre une nouvelle « adresse de retrait sur liste blanche » et effectue son premier retrait à ladite adresse. D’autres mesures ont également été mises en œuvre, mais l’entreprise ne précise (naturellement) pas ce qu’elles sont.

Crypto.com est bien conscient que les clients pourraient être un peu inquiets de faire des affaires sur sa plate-forme après cet incident, c’est pourquoi il a créé le nouveau « Programme mondial de protection des comptes » en réponse. Ce programme restaurera les fonds perdus lors de futurs hacks tiers « jusqu’à » 250 000 $ pour les utilisateurs qualifiés.

Il reste à voir si ces mesures suffiront ou non à restaurer la confiance des clients dans Crypto.com en tant que plateforme, mais nous vous ferons savoir si la situation évolue davantage.