Po akvizici finančně technologické firmy Fortress před čtyřmi dny musela společnost Ripple zaplnit díru v některých účtech zákazníků tohoto správce kryptoměn po narušení bezpečnosti před dvěma týdny.
Po krátkém zveřejnění narušení minulý čtvrtek společnost Fortress prohlásila, že postižené účty byly „plně obnoveny“ a že nedošlo k „žádné ztrátě finančních prostředků“.
Zmatená vysvětlení obou společností podnítila obavy komunity ohledně transparentnosti společnosti Fortress, bezpečnosti jejích klientů, zapojení jejích partnerů – a kdo přesně je na vině. Generální ředitel společnosti Fortress Scott Purcell uvedl, že celá situace byla nafouknuta.
„Nebyli jsme hacknuti, Fireblocks nebyl hacknut a BitGo nebyl hacknut,“ potvrdil spoluzakladatel společnosti TCN v úterý prostřednictvím e-mailu.
Společnost Fortress je poskytovatelem úschovy, dodržování předpisů a infrastruktury pro blockchainové společnosti, které spravují aktiva v hodnotě miliard. Fireblocks se specializuje na regulovanou úschovu digitálních aktiv pro instituce, stejně jako konkurenční společnost BitGo. Fortress využívá peněženky obou společností.
Během celého incidentu Fortress a BitGo „fungovaly perfektně“, podle Purcella, který místo toho připsal vinu „hlavnímu“ cloudovému databázovému nástroji třetí strany jako odpovědnému za narušení.
„Naštěstí (a upřímně řečeno překvapivě) jsme do 48 hodin dostali e-mail od společnosti provozující tento nástroj, ve kterém přiznává, že k narušení došlo na jejich straně, a právě je hnáme k odpovědnosti,“ řekl Purcell.
Mluvčí společnosti Ripple sdělil TCN, že zákazníci byli o narušení informováni (a odškodněni) s předstihem před tím, než společnost Fortress 7. září narušení veřejně oznámila, a že prohlášení společnosti Fortress bylo sdíleno na veřejném fóru. Mluvčí rovněž poskytl další souvislosti týkající se akvizice společnosti Ripple.
„Se společností Fortress Trust již nějakou dobu spolupracujeme,“ uvedl mluvčí společnosti Ripple. „Společnost Ripple je menšinovým investorem a mezi našimi podniky existuje několik skvělých dlouhodobých synergií. Společnost Fortress již několik měsíců vede rozhovory o akvizici s mnoha stranami, protože se snaží zdokonalit a rozvíjet svůj platební byznys (FortressPay).
„Nebylo to poprvé, co jsme s nimi hovořili o potenciální akvizici,“ dodal mluvčí.
Společnost tvrdí, že je bezpečnostní incident přiměl k urychlení rozhovorů o transakci, ale že to pro Ripple „dává smysl i z dlouhodobého hlediska“.
„Společnost Ripple byla naštěstí schopna rychle jednat a zasáhnout a odškodnit zákazníky a nedošlo k žádnému narušení technologie nebo systémů Fortress,“ poznamenal mluvčí.
Přestože Fortress obsluhuje 225 000 účtů, Purcell tvrdil, že kompromitovaný nástroj skutečně používala méně než desítka z nich. Tento nástroj byl nyní zablokován, takže 100 % účtů používá rozhraní API. Částka odcizená při hackerském útoku nebyla zveřejněna, ale byla „relativně malá“ ve srovnání s celkovými aktivy společnosti Fortress, uvedl Purcell.
Společnost Ripple uvedla, že od té doby přizvala k vyšetřování FBI, tajnou službu, regulační orgány a týmy kybernetické bezpečnosti.
„Tyto věci jsme museli udělat předtím, než jsme mohli učinit obecné oznámení, i když jsme samozřejmě okamžitě pracovali s postiženými zákazníky,“ dodal Purcell.
Upřesnil také, že většina postižených klientů byla do 48 hodin odškodněna vlastní bilancí Fortress, přičemž Ripple přispěl k pokrytí zůstatku jednoho většího klienta do 5. září.
V návaznosti na zprávy o ukradených finančních prostředcích a podpoře společnosti Ripple vyjádřil generální ředitel společnosti BitGo Mike Belshe zklamání nad zdánlivým nedostatkem komunikace společnosti Fortress v této záležitosti.
Nemohu dostatečně vyjádřit, jak moc mě tato epizoda s Fortress Trust rozrušila. Opravdu o ní nechci vůbec mluvit, protože to vlastně nemá s BitGo nic společného. Ale protože společnost Fortress nebyla sdílná ohledně toho, co se vlastně stalo, jsme nyní nepřímo postiženi -… https://t.co/jXZYGBt93B
– Mike Belshe (@mikebelshe) 11. září 2023
„Mé srdce se dotýká skutečných obětí hackerského útoku: jednotlivých investorů a společností, jejichž značky jsou pošpiněny jen proto, že jedna jiná společnost neměla odvahu říct pravdu,“ napsal v pondělí v příspěvku na Twitteru.
Belsheho příspěvek, který shrnoval incident tak, jak jej chápal z pohledu společnosti BitGo, byl podle Purcella „prošpikován naprostými lžemi a polopravdami“ a tvrdil, že Belshe byl o incidentu informován od prvního dne, kdy k němu došlo.
„Poslední věc, kterou naše odvětví potřebuje, je další divadlo a FUD,“ řekl Purcell. „Co se týče nás, ano, stal se průser – my, spolu s Ripplem a spolu s našimi partnery, jsme zakročili a zvládli to.“
