Depuis l’acquisition de la société de technologie financière Fortress il y a quatre jours, Ripple a dû combler un trou dans certains comptes clients du dépositaire de crypto-monnaie après une faille de sécurité survenue il y a deux semaines.
Après avoir brièvement révélé la faille jeudi dernier, Fortress a affirmé que les comptes concernés étaient « entièrement restaurés » et qu’il n’y avait eu « aucune perte de fonds ».
Les explications confuses des deux sociétés ont alimenté les inquiétudes de la communauté concernant la transparence de Fortress, la sécurité de ses clients, l’implication de ses partenaires – et qui, exactement, était en tort. Au milieu du tumulte, le PDG de Fortress, Scott Purcell, a déclaré que toute la situation avait été exagérée.
« Nous n’avons pas été piratés, Fireblocks n’a pas été piraté et BitGo n’a pas été piraté », a confirmé le cofondateur à TCN par courriel mardi.
Fortress est un fournisseur de garde, de conformité et d’infrastructure pour les entreprises de blockchain qui gèrent des milliards d’actifs. Fireblocks se spécialise dans la garde réglementée d’actifs numériques pour les institutions, tout comme son concurrent BitGo. Fortress utilise les portefeuilles des deux sociétés.
Tout au long de l’incident, Fortress et BitGo « ont fonctionné parfaitement », selon Purcell, qui a plutôt attribué la responsabilité de la violation à un « important » outil de base de données en nuage tiers.
« Heureusement (et de manière surprenante, honnêtement), dans les 48 heures, nous avons reçu un courriel de la société de l’outil admettant la violation de leur côté, et nous sommes en train de les tenir pour responsables », a déclaré Purcell.
Un porte-parole de Ripple a déclaré à TCN que les clients avaient été informés (et rendus entiers) avant que Fortress ne divulgue publiquement la violation le 7 septembre, et que la déclaration de Fortress avait été partagée sur un forum public. Le porte-parole a également fourni un contexte supplémentaire sur l’acquisition de Ripple.
« Nous travaillons avec Fortress Trust depuis un certain temps », a déclaré le porte-parole de Ripple. « Ripple est un investisseur minoritaire et il existe d’excellentes synergies à long terme entre nos entreprises. Depuis quelques mois, Fortress entretient des conversations d’acquisition avec de nombreuses parties, car elle cherche à affiner et à développer son activité de paiement (FortressPay).
« Ce n’était pas la première fois que nous leur parlions d’une acquisition potentielle », a ajouté le porte-parole.
La société affirme que l’incident de sécurité l’a incitée à accélérer les conversations sur un accord, mais qu’il est également « logique pour Ripple à long terme ».
« Heureusement, Ripple a été en mesure d’agir rapidement pour intervenir et aider les clients, et il n’y a pas eu de violation de la technologie ou des systèmes de Fortress », a noté le porte-parole.
Alors que Fortress sert 225 000 comptes, Purcell a affirmé que moins d’une douzaine d’entre eux utilisaient effectivement l’outil compromis. Cet outil a maintenant été bloqué, laissant 100 % des comptes utiliser les API. Le montant volé lors du piratage n’a pas été divulgué, mais il est « relativement faible » par rapport à l’ensemble des actifs de Fortress, a déclaré M. Purcell.
Ripple dit qu’il a depuis invité les enquêtes du FBI, des services secrets, des régulateurs et des équipes de cybersécurité.
« Nous avons dû faire ces démarches avant de pouvoir faire une annonce générale, même si, bien sûr, nous avons travaillé immédiatement avec les clients concernés », a ajouté M. Purcell.
Il a également précisé que la plupart des clients concernés ont été remboursés par le bilan de Fortress dans les 48 heures, et que Ripple a contribué à couvrir le solde d’un client plus important le 5 septembre.
À la suite des rapports sur les fonds volés et le soutien de Ripple, le PDG de BitGo, Mike Belshe, a exprimé sa frustration face à l’absence apparente de communication de Fortress sur la question.
Je ne saurais trop exprimer à quel point cet épisode de Fortress Trust me bouleverse. Je ne veux vraiment pas en parler, car cela n’a rien à voir avec BitGo. Mais comme Fortress n’a pas été franche sur ce qui s’est réellement passé, nous sommes maintenant indirectement affectés -… https://t.co/jXZYGBt93B
– Mike Belshe (@mikebelshe) September 11, 2023
« Je suis de tout cœur avec les vraies victimes du piratage : les investisseurs individuels et les entreprises qui voient leur marque ternie parce qu’une autre entreprise n’a pas eu le courage de dire la vérité », a-t-il écrit dans un message sur Twitter lundi.
Le message de M. Belshe, qui résumait l’incident tel qu’il le comprenait du point de vue de BitGo, était « truffé de mensonges et de demi-vérités », selon M. Purcell, qui a affirmé que M. Belshe avait été tenu informé de l’incident dès le premier jour où il s’est produit.
« La dernière chose dont notre secteur a besoin, c’est de théâtre et de confusion », a déclaré M. Purcell. « Pour nous, oui, il s’est passé quelque chose – nous, ainsi que Ripple et nos partenaires, avons pris les devants et avons géré la situation. «
