La semaine dernière, Fortress Trust avait signalé sur Twitter qu’un de ses fournisseurs tiers avait été victime d’une fraude à la crypto-monnaie, rassurant toutefois ses investisseurs puisque, selon elle, les systèmes de sécurité internes de l’entreprise n’avaient pas été violés.
Ce n’est que plus tard que l’on a découvert que le fournisseur en question était la société de développement de logiciels Retool, et que Fortress avait en fait perdu 15 millions de dollars à la suite de l’attaque.
Ripple a rapidement annoncé qu’elle avait rectifié les pertes de la startup d’infrastructure blockchain dans le cadre d’un accord visant à acquérir Fortress Trust elle-même.
Un tollé a éclaté sur Twitter, les différentes personnes impliquées dans l’affaire n’hésitant pas à s’attaquer les unes aux autres.
L’affaire a également ouvert un débat sur l’importance des systèmes de blockchain sans confiance dans lesquels il n’y a pas de risque de contrepartie, qui est souvent la principale cause des pertes massives des fonds cryptographiques.
Summary
Plusieurs comptes Fortress Trust compromis à hauteur de 15 millions de dollars : le fournisseur Retool est victime d’une fraude par hameçonnage avec des clients de Fortune 500
La startup d’infrastructure financière Web3 Fortress Trust a annoncé jeudi 7 septembre sur Twitter que quatre de ses clients avaient été victimes d’une fraude en crypto-monnaie après que les outils en nuage de l’un de ses fournisseurs tiers aient été compromis.
Dans un premier temps, l’entreprise n’a pas révélé le nom du fournisseur, tout en rassurant ses parties prenantes sur le fait qu’il n’y avait pas de violation des systèmes internes de Fortress Technology et que les utilisateurs n’avaient pas perdu leurs fonds.
Le lendemain, cependant, la nouvelle choquante de l’achat de Fortress Trust par Ripple dans le cadre d’un accord bilatéral est tombée.
On a découvert par la suite que la start-up avait subi des pertes de fonds s’élevant à 15 millions de dollars et que l’intervention de Ripple avait été utilisée pour régler les dettes de l’entreprise envers ses clients.
Le nom du tristement célèbre fournisseur tiers à l’origine de l’incident a également fait surface, à savoir la célèbre société de développement de logiciels Retool, qui jouit (ou a peut-être joui) d’une très bonne réputation puisqu’elle compte parmi ses clients des entreprises figurant au classement Fortune500.
Cette dernière a été touchée par une attaque de phishing qui a conduit à la compromission de certains comptes internes de Fortress Trust et à la perte de 15 millions de dollars en crypto-monnaie.
La plupart des crypto-monnaies volées étaient en BTC, avec une petite partie en stablecoins tels que USDC et USDT.
L’incident s’est produit exactement le 29 août, lorsque 27 clients de Retool ont informé la société qu’il y avait eu un accès non autorisé à leurs comptes à la suite d’une attaque par hameçonnage.
Après neuf jours, Fortress Trust, qui était directement impliqué dans l’affaire puisque les comptes piratés faisaient partie de son fonds, n’a pas révélé toute l’histoire à sa communauté, espérant que le correctif de Ripple éviterait le battage médiatique d’une fraude.
Cependant, le manque de transparence de la part des dirigeants de la startup n’a pas plu à Mike Belshe, CEO de BitGo, un autre fournisseur de Fortress qui n’a pas été affecté par la cyber-faille, qui a vivement critiqué la manière dont la situation de crise a été gérée.
Kevin Lehtiniitty, cofondateur de Fortress, Chief Technology Officer et Chief Product Officer, a répondu à cette critique en déclarant que Belshe était également au courant de l’incident et qu’il essayait maintenant de susciter la peur chez ses clients par des descriptions trompeuses.
La contre-réponse du PDG de BitGo a été opportune et iconique, puisqu’il a dit mot pour mot à son collègue :
« Si vous pensez que le fait d’être piraté et de devoir vendre la société n’est pas quelque chose que vos clients auraient dû savoir, je ne sais pas trop quoi vous dire. »
Fortress racheté par Ripple après un piratage de crypto-monnaie
Avec le rachat de Fortress Trust par Ripple, il est apparu que la fraude aux crypto-monnaies avait entraîné une perte de fonds pour la start-up, ce qui a suscité un vaste débat parmi les parties prenantes à l’affaire.
Pour calmer le tumulte, le PDG de Fortress, Scott Purcell, a déclaré textuellement : « Nous n’avons pas été piratés :
« Nous n’avons pas été piratés, Fireblocks n’a pas été piraté et BitGo n’a pas été piraté. Heureusement (et de manière surprenante, honnêtement), nous avons reçu dans les 48 heures un courriel de la société d’outils admettant la violation de leur part et nous sommes en train de leur demander des comptes ».
Cependant, si Fortress n’est pas à blâmer pour l’incident, il n’en reste pas moins qu’après un tel piratage, l’entreprise n’a pas divulgué tout ce qu’elle savait à ses clients, les laissant dans l’ignorance de la perte de crypto-monnaie.
Un porte-parole de Ripple a déclaré que les spéculations sur un rachat de la start-up étaient en cours depuis plusieurs semaines et que les deux parties travaillaient ensemble pour parvenir à un accord.
Le cyber-vol dont ont été victimes les clients de Fortress n’est que la cerise sur le gâteau qui a « accéléré » le processus.
En fait, il semble que Fortress gère une valeur totale d’investissement bien plus élevée que celle dérobée lors de l’attaque de phishing, et que la véritable motivation de l’achat de Ripple n’est pas uniquement liée à l’apurement des dettes de l’entreprise.
Le même porte-parole de la société historique de paiements cryptographiques a poursuivi en déclarant que:
« Heureusement, Ripple a pu agir rapidement pour intervenir et satisfaire les clients, et il n’y a pas eu de violation de la technologie ou des systèmes de Fortress. Fortress a immédiatement informé ses clients de l’incident dès qu’il s’est produit, comme indiqué dans leurs tweets. »
Ripple a financé l’acquisition avec une combinaison de liquidités et de capitaux propres. L’opération, qui fait encore l’objet d’un examen réglementaire et d’une vérification préalable, élargirait la collection de licences réglementaires de Ripple, puisque Fortress Trust, une filiale de Fortress Blockchain Technologies, détient une licence de fiducie du Nevada.
Ripple a l’intention de renforcer ses services FotressPay, qui commenceront bientôt à exploiter les technologies de paiement de la société de crypto-monnaie.
Les achats de la société de Brad Garlinghouse se poursuivent à un rythme soutenu après que 250 millions ont été dépensés en mai pour acheter la startup suisse Metaco, spécialisée dans la conservation, ainsi qu’une participation dans la bourse d’échange Bitstamp.
Risque de contrepartie dans les services financiers sur la blockchain
L’histoire de Fortress et de la fraude « provide Retool » a servi à rappeler à l’ensemble de la communauté des investisseurs en crypto-monnaies tous les risques associés au fait de confier ses fonds à des services financiers tiers.
Contrairement aux marchés d’investissement entièrement régulés, dans le far west de la crypto il n’y a aucune garantie (sauf à travers de rares fonds d’assurance) et tout le monde doit faire face à tous les risques de contrepartie qui surviennent lorsque l’on décide de déléguer ses clés privées à des entreprises centralisées.
Malheureusement, dans ce contexte, il existe de nombreux points de vulnérabilité qui émergent souvent en raison d’une faille inattendue dans les systèmes des différents fournisseurs.
Bien que cette histoire se soit terminée par un dénouement heureux, puisque Ripple a couvert la totalité de la perte de 15 millions grâce à son intervention, évitant ainsi des répercussions pour les investisseurs, il est clair qu’il existe encore des problèmes de confiance dans ce monde financier délicat.
Le PDG de Bitgo lui-même, qui agit en tant que fournisseur tiers pour Fortress, a souligné que toute cette situation est exactement la raison pour laquelle nous avons besoin de décentralisation.
Même s’il n’a pas été touché par la cyberattaque et que son entreprise est restée indemne, il a tenu à rappeler à son public sur Twitter que : « Nous ne pouvons pas continuer à dépendre de l’honnêteté :
« Nous ne pouvons pas continuer à dépendre de gardiens de l’honnêteté, de banquiers ou de « tiers de confiance » agissant avec intégrité lorsque de mauvaises choses se produisent.
De mauvaises choses se produiront et la plupart des êtres humains n’auront pas le courage d’être honnêtes. BitGo, en tant que plateforme de portefeuille décentralisée et dépositaire centralisé, continuera à se battre pour que les humains ne soient pas mêlés à tout cela, pour que notre système financier ne dépende pas de l’intégrité de qui que ce soit et pour garantir la transparence partout où c’est possible. »
Ses propos rappellent la philosophie sous-jacente du bitcoin, qui a été créé précisément dans l’intention de pouvoir dépasser tout type d’intermédiation financière, afin de permettre le fonctionnement d’une économie décentralisée qui ne dépend pas du succès ou de l’échec des individus, mais qui est basée sur les principes de la souveraineté collective de l’argent.
