Desde que adquirió la empresa de tecnología financiera Fortress hace cuatro días, Ripple tuvo que llenar un agujero en algunas de las cuentas de clientes del criptocustodio después de una brecha de seguridad hace dos semanas.
Tras revelar brevemente la brecha el jueves pasado, Fortress afirmó que las cuentas afectadas estaban «totalmente restauradas» y que no había habido «ninguna pérdida de fondos.»
Las confusas explicaciones de ambas empresas avivaron la preocupación de la comunidad en torno a la transparencia de Fortress, la seguridad de sus clientes, la implicación de sus socios y quién era exactamente el culpable. En medio del alboroto, el consejero delegado de Fortress, Scott Purcell, dijo que toda la situación se ha exagerado.
«No nos hackearon, Fireblocks no fue hackeado y BitGo no fue hackeado», confirmó el cofundador a TCN por correo electrónico el martes.
Fortress es un proveedor de custodia, cumplimiento e infraestructura para empresas de blockchain que gestionan miles de millones en activos. Fireblocks se especializa en la custodia regulada de activos digitales para instituciones, al igual que su competidor BitGo. Fortress utiliza monederos de ambas empresas.
A lo largo del incidente, Fortress y BitGo «funcionaron perfectamente», según Purcell, quien, en cambio, culpó a una «importante» herramienta de base de datos en la nube de terceros como responsable de la brecha.
«Afortunadamente (y sorprendentemente, sinceramente) en 48 horas recibimos un correo electrónico de la empresa de la herramienta admitiendo la violación por su parte, y estamos en el proceso de hacerles responsables», dijo Purcell.
Un portavoz de Ripple dijo a TCN que los clientes estaban al tanto (y enterados) antes de que Fortress revelara públicamente la brecha el 7 de septiembre, y que la declaración de Fortress se compartió en un foro público. El portavoz también proporcionó contexto adicional sobre la adquisición de Ripple.
«Hemos estado trabajando con Fortress Trust durante algún tiempo», dijo el portavoz de Ripple. «Ripple es un inversor minoritario, y hay algunas grandes sinergias a largo plazo entre nuestros negocios. Fortress ha estado manteniendo conversaciones de adquisición durante un par de meses con numerosas partes, ya que buscan afinar y hacer crecer su negocio de pagos (FortressPay).
«No era la primera vez que hablábamos con ellos sobre una posible adquisición», añadió el portavoz.
La compañía dice que el incidente de seguridad les llevó a acelerar las conversaciones sobre un acuerdo, pero que también «tiene sentido para Ripple a largo plazo.»
«Afortunadamente, Ripple estaba en posición de actuar rápidamente para intervenir y compensar a los clientes, y no ha habido brechas en la tecnología o los sistemas de Fortress», señaló el portavoz.
Aunque Fortress presta servicio a 225.000 cuentas, Purcell afirmó que menos de una docena de ellas utilizaban realmente la herramienta comprometida. Esa herramienta ya ha sido bloqueada, por lo que el 100% de las cuentas utilizan API. No se ha revelado la cantidad robada en el ataque, pero es «relativamente pequeña» en comparación con los activos totales de Fortress, según Purcell.
Ripple dice que desde entonces ha invitado a investigar al FBI, al Servicio Secreto, a los reguladores y a los equipos de ciberseguridad.
«Tuvimos que hacer estas cosas antes de que se pudiera hacer un anuncio general, aunque, por supuesto, estuvimos trabajando con los clientes afectados de inmediato», añadió Purcell.
También aclaró que la mayoría de los clientes afectados fueron compensados por el propio balance de Fortress en 48 horas, y Ripple contribuyó a cubrir el saldo de un cliente más grande el 5 de septiembre.
Tras los informes sobre los fondos robados y el apoyo de Ripple, el consejero delegado de BitGo, Mike Belshe, expresó su frustración por la aparente falta de comunicación de Fortress sobre el asunto.
No tengo palabras para expresar lo molesto que me resulta este episodio de Fortress Trust. Realmente no quiero hablar de ello en absoluto, porque en realidad no tiene nada que ver con BitGo. Pero debido a que Fortress no fue comunicativa sobre lo que realmente sucedió, ahora estamos indirectamente afectados -… https://t.co/jXZYGBt93B
– Mike Belshe (@mikebelshe) 11 de septiembre de 2023
Mi corazón está con las verdaderas víctimas del pirateo: los inversores particulares y las empresas que están viendo empañadas sus marcas porque otra empresa no tuvo el valor de decir la verdad», escribió el lunes en Twitter.
El post de Belshe, que resumía el incidente tal y como él lo entendía desde la perspectiva de BitGo, estaba «plagado de mentiras rotundas y medias verdades», según Purcell, que afirmó que Belshe estuvo informado del incidente desde el primer día en que se produjo.
«Lo último que necesita nuestro sector es más teatro y FUD», dijo Purcell. «Para nosotros, sí, ha ocurrido una mierda; nosotros, junto con Ripple y nuestros socios, hemos dado un paso al frente y lo hemos gestionado».
