Les exchange de crypto ont toujours été la cible principale des cyber-voleurs, qui ont réussi à dérober un total de 3,45 milliards de dollars depuis 2012 grâce à des attaques informatiques.
Face à ce chiffre effrayant, les investisseurs institutionnels sont à la recherche de solutions intermédiaires capables de stocker leurs actifs en toute sécurité tout en facilitant les opérations.
Nous essayons d’explorer cette question en rapportant une recherche analytique publiée par Binance.
Summary
Hack des exchange de crypto depuis 2012: étude de Binance
Depuis 2012, les exchange de crypto ont été victimes de nombreux hack et cyberattaques, qui ont permis de voler une quantité substantielle d’actifs par le biais de diverses méthodes.
Les exchange restent la cible privilégiée des pirates, qui s’efforcent de contourner leurs mesures de sécurité compte tenu de l’importance des crypto qui y circulent.
Au total, la somme s’élève à quelque 3,45 milliards de dollars sur 48 exchange différentes, la courbe des vols s’accélérant à partir de 2020, vraisemblablement motivée par la réputation que l’industrie de la crypto-monnaie s’est forgée ces dernières années.
Les perdants, sans l’ombre d’un doute, sont principalement les investisseurs, qui voient ponctuellement leur capital disparaître d’un moment à l’autre et qui, dans la plupart des cas, ne sont jamais dédommagés.
Bien que les exchange soient censées servir exclusivement de passerelle vers les fiat onramp et de solutions de trading, on sait désormais que de nombreux utilisateurs les utilisent comme sources de conservation, étant donné la simplicité offerte du côté de l’utilisateur et les faibles coûts de commission par rapport aux fournisseurs non dépositaires.
En outre, les logiciels ou le hardware des non custodial wallet impliquent la nécessité d’une bonne connaissance des meilleures pratiques en termes de gestion des clés privées et des mécanismes inhérents à la blockchain de la part de leurs utilisateurs, qui font encore partie d’une niche étroite.
L’utilisateur de détail moyen préfère télécharger l’application Binance, effectuer un transfert depuis sa banque à domicile, négocier (ou jouer) sur des marchés centralisés qui sont beaucoup plus liquides que leurs homologues décentralisés, et conserver des actifs directement sur l’exchange.
Le double rôle de garde et d’échange de ces infrastructures attire non seulement les petits investisseurs, mais aussi de nombreux pirates informatiques, qui tentent de déverrouiller les clés privées des portefeuilles des exchange et de remporter le jackpot pour leurs actifs.
Des recherches menées par Binance ont montré que sur les 3,45 milliards volés depuis 2012, 29,4% proviennent de fuites de capitaux via les hot wallets de ces plateformes, ce qui représente la méthode la plus couramment utilisée par les cybercriminels.
Viennent ensuite de nombreuses autres techniques utilisées par les pirates, telles que la compromission des systèmes de sécurité et des serveurs d’échange, la participation d’initiés, les fuites de données, les transactions non autorisées, les erreurs du personnel interne, les vulnérabilités des protocoles et les bogues.
Les risques de l’autodétention pour les investisseurs institutionnels et le rôle des dépositaires centralisés
Alors que, comme nous l’avons mentionné dans la section précédente, les investisseurs particuliers préfèrent la commodité des exchange, les investisseurs institutionnels sont à la recherche de solutions plus souples, capables de faire un compromis entre la sécurité et la commodité opérationnelle.
Ce type d’investisseur, qui gère des actifs pour le compte de tiers, s’intéresse de plus en plus aux crypto-monnaie et à la volatilité présente sur ces marchés, mais a besoin de services professionnels avec des normes de sécurité élevées et d’un accès facile aux actifs pour effectuer des transactions.
Binance a classé les opérateurs qui conservent des actifs pour le compte d’institutions en trois catégories: les dépositaires, les fournisseurs de technologie de conservation et les dépositaires hybrides.
Chacune de ces catégories présente des avantages et des inconvénients en termes de gestion des clés privées des portefeuilles, de protections réglementaires telles que l’assurance et les audit, et de rapidité d’accès aux actifs.
Il n’existe pas encore de solution unique capable d’assurer une sécurité maximale tout en offrant toutes les commodités et tous les avantages des échanges sur le terrain.
À cet égard, des expériences sont en cours pour trouver un point de rencontre entre ces deux besoins institutionnels.
Cependant, selon l’étude menée par Binance, Off-Exchange Settlement (OES) représente l’un des meilleurs exemples de fournisseurs de services de conservation offrant des services de négociation avancés.
L’OES permet notamment aux investisseurs institutionnels d’accéder à leurs actifs de la même manière que sur les exchange de détail, mais sans qu’il soit nécessaire de déposer des capitaux sur la plateforme.
Le mécanisme comporte 3 étapes:
- un dépositaire institutionnel détient les actifs en interne pour le compte d’un client;
- le dépositaire verrouille la majorité du fonds dans un portefeuille multi-signature / MPC;
- un échange de crypto fournit au client institutionnel un crédit négociable sur la plateforme qui reflète le montant des actifs gérés par le dépositaire.
Cette solution offre un bon équilibre entre la sécurité, dictée par la présence d’un portefeuille multi-signature et les garanties offertes par le dépositaire, et la commodité de trading offerte par l’exchange.
À ce jour, il existe peu de fournisseurs de solutions OES, parmi lesquels on peut citer Ceffu, un partenaire de Binance et Copper, qui fournit ce service pour les exchange à plus faible volume.
Mt.Gox: le plus grand hack de l’histoire des exchange de crypto
Le plus grand hack de l’histoire des exchange de crypto concerne l’attaque qui a touché la plateforme d’échange MT.Gox en 2014, qui détenait à l’époque le record des volumes générés par les traders du secteur.
MT. Gox a été fondée en 2007 par Jed McCaleb, un programmeur informatique qui a initialement mis en place la plateforme en tant qu’échange de cartes du célèbre jeu « Magic« .
Le nom initial de l’exchange était en fait « The Gathering Online Exchange », mais elle a été rebaptisée MT.Gox lorsqu’elle s’est tournée vers le monde des crypto.
En 2014, la plateforme traitait environ 70% de l’ensemble des trading de Bitcoin, à la fois en raison de sa centralité et de sa notoriété, et parce qu’à l’époque, la concurrence n’était pas aussi forte qu’aujourd’hui.
En février de la même année, le plus grand hack de l’histoire du vol de crypto a eu lieu et a fait disparaître 850.000 BTC de l’exchange.
La plateforme s’est rapidement déclarée en faillite et les investisseurs sont restés sur le carreau pendant de nombreuses années, jusqu’à ce qu’un accord soit conclu entre les créanciers et les avocats spécialisés dans les faillites.
En particulier, compte tenu de la récupération de 200.000 BTC et de la hausse disproportionnée du cours de l’actif dans les années suivantes, le syndic de MT.Gox s’est retrouvé à détenir une contre-valeur en dollars capable de rembourser tous les créanciers sur la base du solde en FIAT (et non en BTC) détenu sur l’exchange au début de l’année 2014.
En pratique, les créanciers ont récupéré tout ce qu’ils avaient perdu en dollars, mais ont manqué l’opportunité d’une vie en détenant l’actif le plus performant de toute la décennie.
Les liquidations sont toujours en cours et actuellement l’administrateur de MT Gox détient encore 137.890,98 BTC tandis que les 64.214,99 restants ont été vendus sur le marché entre décembre 2017 et mai 2018
C’est à partir de cet événement qu’ont commencé les premiers récits des maximalismes de Bitcoin sur l’importance de détenir ses clés privées en personne et sur l’inutilité des échanges en tant que plateformes de conservation de crypto.
