Gemini a menti sur sa sécurité, déclare IRA Financial dans un procès pour piratage de 36 millions de dollars
Gemini a menti sur la sécurité de sa plate-forme et est responsable de la perte de 36 millions de dollars lors d’un piratage en février, selon un nouveau procès intenté par un fournisseur américain de l’IRA. Le procès indique que Gemini a conçu son système avec un seul point de défaillance, a menti à ce sujet et n’a pas réussi à arrêter le piratage bien qu’il en ait été informé à plusieurs reprises.
Le procès a été intenté par IRA Financial Trust, une société basée dans le Dakota du Sud qui fournit des comptes de retraite individuels autogérés (IRA). Alors que la réglementation américaine interdit aux entreprises IRA de se lancer dans les actifs numériques, IRA Financial peut proposer de tels produits car il s’agit d’un IRA autogéré. Il a permis des investissements dans les actifs numériques grâce à un partenariat avec Gemini.
Tout s’est mal passé en février. Comme l’entreprise l’a révélé sur Twitter, elle avait découvert « une activité suspecte qui a affecté un sous-ensemble limité de nos clients ayant des comptes sur l’échange de crypto-monnaie Gemini ».
Cependant, comme des sources l’ont révélé à Bloomberg à l’époque, la société minimisait une violation majeure dans laquelle 36 millions de dollars de fonds clients avaient été volés – 15 millions de dollars en ETH et 21 millions de dollars en BTC. Les pirates ont réussi à infiltrer le compte financier de l’IRA et, après avoir volé les fonds, les ont blanchis via le mélangeur Tornado Cash basé sur Ethereum.
Dans un communiqué de presse, IRA Financial a révélé qu’elle avait intenté une action en justice contre Gemini, affirmant qu’elle n’avait pas mis en place de garanties appropriées pour protéger les actifs des clients.
L’échange se vante d’avoir « des protections de sécurité à la pointe de l’industrie, telles que l’authentification à deux facteurs, les adresses de retrait » sur liste blanche « et les algorithmes de détection de fraude ». Ceux-ci, dit-il, éliminent un seul point de défaillance. Cependant, il s’agissait d’une fausse déclaration qui s’est avérée un peu trop chère pour l’entreprise.
« Contrairement aux nombreuses représentations de Gemini sur la sécurité, Gemini a conçu son API avec un point de défaillance unique. En cas de violation, ce point de défaillance unique permettait à un mauvais acteur de voler tous les actifs cryptographiques détenus par les clients d’un client institutionnel, comme l’IRA », a-t-il déclaré.
affirme l’IRA.
« Non seulement le système de Gemini abritait un point de défaillance unique, mais il contenait également une vulnérabilité radicale qui permettait à une violation d’un seul compte client de se métastaser sur tous les comptes », a-t-il ajouté.
Toutes ces vulnérabilités ont été exploitées le 8 février, les pirates se sont emparés de 36 millions de dollars et l’IRA a déclaré que Gemini était à blâmer. Si ses représentations sur une protection supplémentaire telle que l’authentification à deux facteurs avaient été vraies, les pirates n’auraient pas emporté l’argent.
De plus, Gemini n’a même pas réussi à détecter que des pirates avaient eu accès au compte de l’IRA. C’est l’IRA qui a alerté l’échange, et comme la société ne pouvait pas geler ses comptes, elle a dû attendre l’intervention de Gemini, ce qui a pris plus de deux heures.
encore et encore Dans l’intervalle, des millions de dollars d’actifs cryptographiques ont été volés », a déclaré le procès.
L’IRA veut un sursis financier de la bourse de New York, et s’est engagé à utiliser ce produit pour rembourser tous les comptes qui ont été touchés par le piratage. Eric Ostroff, qui représente la société devant les tribunaux, affirme que le procès vise à réparer les dommages massifs subis par l’IRA, à la fois dans la perte de ses fonds et les dommages causés à sa réputation.
Gemini a précédemment rejeté toute affirmation selon laquelle il était à blâmer pour le piratage. Une déclaration a affirmé que si les comptes d’IRA sont gérés sur sa plate-forme, « Gemini ne gère pas la sécurité des systèmes d’IRA Financial ».
Le nouveau procès survient quelques jours seulement après que la Commodity Futures Trading Commission a poursuivi Gemini pour avoir fait de fausses déclarations et menti à plat sur ses contrats à terme BTC en 2017.
Blockstream, ShapeShift, Coinbase, Ripple,
Ethereum, FTX et Tether, qui ont coopté la révolution des actifs numériques et transformé l’industrie en un champ de mines pour les acteurs naïfs (et même expérimentés) du marché.
le guide de ressources ultime pour en savoir plus sur Bitcoin – tel qu’envisagé à l’origine par Satoshi Nakamoto – et la blockchain.
