La semaine dernière, Fortress Trust a annoncé sur Twitter qu’un de ses fournisseurs tiers avait été victime d’une fraude cryptographique, mais a rassuré ses investisseurs étant donné que, selon lui, les systèmes de sécurité internes de l’entreprise n’avaient pas été violés.
Ce n’est que plus tard que l’on a découvert que le fournisseur en question était la société de développement de logiciels Retool et que Fortress avait en réalité perdu 15 millions de dollars à cause de l’attaque.
Ripple a rapidement annoncé qu’il avait réglé les pertes de la start-up d’infrastructure blockchain dans le cadre d’un accord visant à acquérir Fortress Trust lui-même.
Un tollé a éclaté sur Twitter avec diverses personnes impliquées dans l’affaire qui n’ont pas hésité à s’en prendre les unes aux autres.
Cette question a également ouvert un débat sur l’importance des systèmes de blockchain sans confiance dans lesquels il n’y a aucun risque de contrepartie, ce qui représente souvent la principale cause de pertes importantes de fonds cryptographiques.
Voyons tous les détails ensemble.
Plusieurs comptes Fortress Trust compromis pour 15 millions de dollars alors que le fournisseur Retool tombe dans une arnaque de phishing ciblant les clients Fortune 500
Fortress Trust, une startup d’infrastructure financière web3, a annoncé jeudi 7 septembre sur Twitter que 4 de ses clients s’étaient brouillés victime d’une fraude cryptographique après que les outils cloud de son fournisseur tiers ont été compromis.
La société n’a pas initialement révélé le nom du fournisseur, tout en rassurant ses parties prenantes sur le fait qu’il n’y avait eu aucune violation des systèmes internes de Fortress Technology et que les utilisateurs n’avaient pas perdu leurs fonds.
Le lendemain, cependant, arrive la nouvelle choquante :achat de Fortress Trust par Ripple dans le cadre d’un accord bilatéral.
Il s’est avéré plus tard qu’il y en avait eu pour la startup pertes de fonds s’élevant à 15 millions de dollars et que l’intervention de Ripple a servi à rembourser les dettes de l’entreprise envers ses clients.
Le nom du tristement célèbre fournisseur tiers à l’origine de l’incident a également fait surface, à savoir la célèbre société de développement de logiciels Retool, qui jouit (ou jouissait peut-être) d’une excellente réputation étant donné qu’elle compte parmi ses clients des sociétés Fortune500.
Ce dernier a été touché par une attaque de phishing qui a conduit à compromission de certains comptes internes de Fortress Trust avec la perte de 15 millions de dollars en crypto.
La majeure partie de l’argent crypto volé était en BTC, avec une petite partie en pièces stables comme l’USDC et l’USDT.
L’incident s’est produit exactement le 29 août, lorsque 27 clients de Retool ont informé l’entreprise que « il y a eu un accès non autorisé à leurs comptes » suite à une attaque de phishing.
Au bout de 9 jours, Fortress Trust, directement impliqué dans l’affaire étant donné que les comptes piratés faisaient partie de leur fonds, n’a pas raconté toute l’histoire à leur communauté en espérant que le patch Ripple puisse éviter la sensation médiatique d’une fraude.
Cependant, le manque de transparence des dirigeants de la startup n’a pas plu à Mike Belshe, PDG de BitGo, un autre fournisseur de Fortress qui n’a subi aucune répercussion de la faille informatique, qui a vivement critiqué la manière dont la situation de crise a été gérée.
Kevin Lehtiniitty, co-fondateur de Fortress ainsi que directeur de la technologie et directeur des produits, a répondu à ces critiques en déclarant que même Belshe était conscient de ce qui s’était passé et qui tente désormais de susciter la peur chez ses clients à travers des descriptions trompeuses
La contre-réponse du PDG de BitGo était opportune, comme il l’a dit textuellement à son collègue :
« Hé, si vous pensez que se faire pirater et devoir vendre votre entreprise n’est pas quelque chose dont vos clients auraient dû être au courant, je ne sais pas quoi dire »
Forteresse acquise par Ripple après un piratage crypto
Avec l’acquisition de Fortress Trust par Ripple, il est devenu connu que la fraude cryptographique avait fait perdre des fonds à la startup. susciter un large débat par ceux que le sujet intéresse.
Pour calmer le tollé, le PDG de Fortress, Scott Purcell, a déclaré mot pour mot :
« Nous n’avons pas été piratés, Fireblocks n’a pas été piraté et BitGo n’a pas été piraté. Heureusement (et étonnamment, honnêtement), dans les 48 heures, nous avons reçu un e-mail de la société d’outils reconnaissant l’infraction de sa part et nous sommes en train de la tenir pour responsable.
Quoi qu’il en soit, même si Fortress n’est pas responsable de l’incident, il n’en demeure pas moins qu’après un hack de ce type, l’entreprise n’a pas divulgué tout ce qu’elle savait à ses clientsles laissant dans l’ignorance quant à la perte d’argent en crypto.
Un porte-parole de Ripple a déclaré que l’hypothèse d’un rachat de la startup était déjà réfléchie depuis quelques semaines et que les deux parties travaillaient ensemble pour trouver un accord.
Le cybervol contre les clients de Fortress n’était que la cerise sur le gâteau qui a « accéléré » ce processus.
En fait, il semble que Fortress gère une valeur totale d’investissements nettement supérieure à celle volée lors de l’attaque de phishing et que la véritable motivation de l’achat de Ripple ne soit pas uniquement liée au recouvrement des dettes de l’entreprise.
Le même porte-parole de la société historique de paiements cryptographiques a poursuivi en déclarant que :
« Heureusement, Ripple a pu agir rapidement pour intervenir et satisfaire les clients, et il n’y a eu aucune violation de la technologie ou des systèmes de Fortress. Fortress a immédiatement informé les clients de l’incident dès qu’il s’est produit, comme mentionné dans leurs tweets. »
Ripple a financé l’acquisition avec une combinaison de liquidités et de capitaux propres. L’accord, toujours soumis à un examen réglementaire et à une diligence raisonnable, élargirait la collection de licences réglementaires de Ripple, car Fortress Trust, une filiale de Fortress Blockchain Technologies, détient une licence Nevada Trust.
Ripple a l’intention de renforcer les services FotressPayqui commencera bientôt à tirer parti des technologies de paiement de la société de cryptographie.
Les achats de la société de Brad Garlinghouse se poursuivent à un rythme effréné après que 250 millions ont été dépensés en mai pour racheter la startup suisse de conservation Metaco, ainsi qu’une participation dans la bourse Bitstamp.
Risque de contrepartie dans le secteur des services financiers blockchain
L’histoire de Fortress et la fraude contre le fournisseur Retool ont servi à rappeler à l’ensemble de la communauté des investisseurs en crypto les risques liés au fait de confier vos fonds à des services financiers tiers.
Contrairement aux marchés d’investissement entièrement réglementés, dans le Far West de la cryptographie il n’y a aucune garantie (si ce n’est via de rares fonds d’assurance) et chacun doit faire face à tous les risques de contrepartie qui émergent lorsque l’on décide de déléguer ses clés privées à des sociétés centralisées.
Malheureusement, dans ce contexte, de nombreux points de vulnérabilité apparaissent souvent en raison de faille inattendue dans les systèmes de plusieurs fournisseurs.
Bien que cette histoire se soit terminée par une fin heureuse étant donné que Ripple a entièrement couvert les 15 millions de pertes grâce à son intervention, évitant ainsi des répercussions sur les investisseurs, il est clair qu’il existe encore des problèmes de confiance dans ce monde financier délicat.
Le PDG de Bitgo lui-même, qui agit en tant que fournisseur tiers pour Fortress, a souligné à quel point toute cette situation représente la raison exacte pour laquelle nous avons besoin de décentralisation.
Même si son entreprise n’a pas été touchée par la cyberattaque et est restée indemne, il a tenu à rappeler à son audience sur Twitter que :
« Nous ne pouvons pas continuer à dépendre de contrôleurs honnêtes, de banquiers ou de « tiers de confiance » pour agir avec intégrité lorsque de mauvaises choses surviennent.
De mauvaises choses arriveront et la plupart des êtres humains n’auront pas assez de courage pour être honnêtes. BitGo, en tant que plate-forme de portefeuille décentralisée et également dépositaire centralisé, continuera de s’efforcer d’éliminer les humains du mélange, de garantir que notre système financier ne dépend de l’intégrité de personne et d’assurer la transparence dans la mesure du possible.
Ses propos rappellent la philosophie sous-jacente du Bitcoin qui a été créé précisément dans le but de pouvoir dépasser tout type d’intermédiation financière, afin de pouvoir gérer une économie décentralisée qui ne dépend pas du succès ou de l’échec des individusmais qui repose sur les principes de souveraineté collective de la monnaie.