FixedFloat – un échange de crypto-monnaies qui fonctionne sans mesures de lutte contre le blanchiment d’argent (AML) de type « Know Your Customer » (KYC) – a été piraté au début du mois, entraînant la perte de plus de 400 Bitcoin et de plus de 1 700 Ethereum, d’une valeur d’environ 26 millions de dollars.
La société de sécurité blockchain BlockFence a identifié l’adresse Bitcoin utilisée pour le vol, et les données sur la chaîne d’une adresse Ethereum liée ont révélé de multiples transactions de grande valeur vers diverses adresses.
Selon la société d’analyse de blockchain PeckShield, les fonds volés ont été transférés via le mélangeur Ethereum eXch peu après le piratage, ce qui a compliqué la traçabilité des actifs volés. Une petite partie des fonds a été déplacée vers HitBTC et CoinSpot, a déclaré PeckShield, qualifiant l’adresse du portefeuille de « FixedFloat drainer ».
PeckShieldAlert FixedFloat a été piraté, ce qui a entraîné le vol de ~1 728 $ETH (d’une valeur d’environ 4,85 millions de dollars) et & ; 409 $BTC (d’une valeur d’environ 21 millions de dollars). Le vidangeur a déjà transféré la plupart des $ETH volés vers eXch sur Ethereum pic.twitter.com/IZKbCclH8v
– PeckShieldAlert (@PeckShieldAlert) Le 19 février 2024
FixedFloat a déclaré à TCN que le piratage n’avait pas été effectué par l’un de ses employés et qu' »il s’agissait d’une attaque externe causée par des vulnérabilités dans notre structure de sécurité ».
« Le problème se situe au niveau de notre infrastructure, qui a été compromise en raison de failles et d’une protection insuffisante », a déclaré l’entreprise. « Cela a permis aux attaquants d’accéder à certaines fonctions de notre service.
À la suite du piratage, FixedFloat a d’abord évoqué des « problèmes techniques mineurs » et a placé ses systèmes en « mode maintenance ». C’était avant que l’ampleur du piratage ne soit révélée, ce qui a semé la confusion et l’inquiétude parmi les utilisateurs.
« Nous n’avons pas immédiatement signalé le piratage, car nous étions déjà au courant de l’incident et nous avons immédiatement commencé à mettre notre service en mode maintenance pour assurer la sécurité et minimiser les pertes », a déclaré la bourse à TCN. « À ce moment-là, notre objectif principal était d’éliminer rapidement les faiblesses et de renforcer la sécurité globale, ce qui nous a empêchés de faire des déclarations publiques sur ce qui s’est passé. »
Dans une déclaration ultérieure, FixedFloat a assuré à ses clients que leurs fonds étaient en sécurité, précisant que les pertes financières n’affectaient que le service lui-même et non les actifs détenus par les utilisateurs. « FixedFloat ne remplit pas les fonctions d’un service de garde, c’est-à-dire qu’il ne stocke pas les fonds des utilisateurs. Nous fournirons plus d’informations ultérieurement », a tweeté la plateforme.
Cependant, lorsque les rapports sur le piratage ont commencé à se répandre sur les médias sociaux, la plateforme a confirmé l’incident et s’est ouverte à propos de l’attaque.
« Nous confirmons qu’il y a bien eu un piratage et un vol de fonds », a écrit le compte Twitter officiel de FixedFloat dans une réponse à un tweet. « Nous ne sommes pas prêts à faire des commentaires publics à ce sujet, car nous travaillons à éliminer toutes les vulnérabilités possibles, à améliorer la sécurité et à enquêter.
« Notre service sera bientôt à nouveau disponible », a-t-il poursuivi.
Bonjour,
Nous confirmons qu’il y a bien eu un piratage et un vol de fonds. Nous ne sommes pas encore prêts à faire des commentaires publics à ce sujet, car nous travaillons à éliminer toutes les vulnérabilités possibles, à améliorer la sécurité et à enquêter. Notre service sera bientôt à nouveau disponible.
Nous…
– FixedFloat⚡️ (@FixedFloat) Le 18 février 2024
La bourse a ensuite assuré que les fonds des utilisateurs restaient en sécurité et que les fonds volés n’avaient affecté que les opérations internes de la société. Si tel est le cas, il est probable que le piratage ait été effectué à partir de l’un des portefeuilles électroniques de la bourse.
Le site officiel de FixedFloat reste inopérant à l’heure où nous écrivons ces lignes.
Image : FixedFloat
FixedFloat, qui se présente comme un « échange de crypto-monnaies instantané et entièrement automatique avec Lightning Network », privilégie la confidentialité à la sécurité, en fonctionnant sans exiger l’enregistrement d’un compte ou la vérification de l’identité. Cette absence de mesures KYC est attrayante pour les utilisateurs soucieux de leur vie privée, mais elle présente des risques importants pour la plateforme et ses utilisateurs en cas de piratage, car les enquêteurs ne disposent que d’informations limitées.
Les incidents de ce type sont moins fréquents qu’auparavant. Un récent rapport de Chainalysis, société spécialisée dans l’analyse judiciaire de la blockchain, a mis en évidence une baisse significative des fonds volés sur les plateformes de crypto-monnaies en 2023. Malgré une légère augmentation des incidents de piratage individuels, la valeur totale des fonds volés a chuté d’environ 54,3 % pour atteindre 1,7 milliard de dollars, attribuée en grande partie à une forte baisse des piratages DeFi.
FixedFloat a indiqué qu’elle travaillait avec les forces de l’ordre, les sociétés d’expertise judiciaire de la blockchain et les bourses de crypto-monnaies pour retrouver les pirates, qui n’ont pas encore contacté la bourse. La société a déclaré qu’elle honorera toutes ses obligations de paiement dès qu’elle reprendra ses activités et qu’elle pourra être certaine que l’échange est de nouveau sûr à utiliser.
