Dopo l’acquisizione della società di tecnologia finanziaria Fortress quattro giorni fa, Ripple ha dovuto colmare un buco in alcuni conti dei clienti del depositario di criptovalute dopo una violazione della sicurezza avvenuta due settimane fa.
Dopo aver brevemente rivelato la violazione giovedì scorso, Fortress ha affermato che i conti interessati erano stati “completamente ripristinati” e che non c’era stata “alcuna perdita di fondi”.
Le spiegazioni confuse di entrambe le società hanno alimentato le preoccupazioni della comunità in merito alla trasparenza di Fortress, alla sicurezza dei suoi clienti, al coinvolgimento dei suoi partner e a chi, esattamente, fosse la colpa. In mezzo al clamore, l’amministratore delegato di Fortress Scott Purcell ha dichiarato che l’intera situazione è stata gonfiata.
“Noi non siamo stati violati, Fireblocks non è stata violata e BitGo non è stata violata”, ha confermato il co-fondatore a TCN via e-mail martedì.
Fortress è un fornitore di custodia, conformità e infrastrutture per società blockchain che gestiscono miliardi di asset. Fireblocks è specializzata nella custodia di asset digitali regolamentati per le istituzioni, così come la concorrente BitGo. Fortress utilizza i portafogli di entrambe le società.
Durante l’incidente, Fortress e BitGo hanno “funzionato perfettamente”, secondo Purcell, che ha invece attribuito la responsabilità della violazione a un “importante” strumento di database cloud di terze parti.
“Fortunatamente (e sorprendentemente, onestamente) nel giro di 48 ore abbiamo ricevuto un’e-mail dall’azienda che ha ammesso la violazione da parte loro e stiamo provvedendo a ritenerla responsabile”, ha dichiarato Purcell.
Un portavoce di Ripple ha dichiarato a TCN che i clienti sono stati informati (e messi al corrente) prima che Fortress rivelasse pubblicamente la violazione il 7 settembre e che la dichiarazione di Fortress è stata condivisa su un forum pubblico. Il portavoce ha anche fornito un ulteriore contesto sull’acquisizione di Ripple.
“Lavoriamo da tempo con Fortress Trust”, ha dichiarato il portavoce di Ripple. “Ripple è un investitore di minoranza e ci sono grandi sinergie a lungo termine tra le nostre attività. Da un paio di mesi Fortress sta intrattenendo conversazioni per l’acquisizione con numerose parti, nel tentativo di affinare e far crescere la propria attività di pagamenti (FortressPay).
“Non era la prima volta che parlavamo con loro di una potenziale acquisizione”, ha aggiunto il portavoce.
L’azienda afferma che l’incidente di sicurezza li ha spinti ad accelerare le conversazioni su un accordo, ma anche che “ha senso per Ripple nel lungo termine”.
“Fortunatamente Ripple è stata in grado di agire rapidamente per intervenire e risarcire i clienti, e non ci sono state violazioni della tecnologia o dei sistemi di Fortress”, ha osservato il portavoce.
Mentre Fortress serve 225.000 account, Purcell ha affermato che meno di una dozzina di essi hanno effettivamente utilizzato lo strumento compromesso. Tale strumento è stato ora bloccato, lasciando che il 100% degli account utilizzi le API. L’importo rubato nell’hack non è stato rivelato, ma è “relativamente piccolo” rispetto al patrimonio totale di Fortress, ha detto Purcell.
Ripple ha dichiarato di aver invitato alle indagini l’FBI, i servizi segreti, le autorità di regolamentazione e i team di sicurezza informatica.
“Abbiamo dovuto fare queste cose prima di poter fare un annuncio generale, anche se ovviamente abbiamo lavorato immediatamente con i clienti interessati”, ha aggiunto Purcell.
Purcell ha anche chiarito che la maggior parte dei clienti colpiti è stata ripagata dal bilancio di Fortress entro 48 ore, mentre Ripple ha contribuito a coprire il saldo di un cliente più grande entro il 5 settembre.
In seguito alle notizie sui fondi rubati e sul supporto di Ripple, l’amministratore delegato di BitGo Mike Belshe ha espresso frustrazione per l’apparente mancanza di comunicazione di Fortress sulla questione.
Non posso esprimere a sufficienza quanto mi turbi questo episodio di Fortress Trust. Non voglio assolutamente parlarne, perché in realtà non ha nulla a che fare con BitGo. Ma dato che Fortress non è stata sincera su ciò che è realmente accaduto, ora siamo indirettamente coinvolti… https://t.co/jXZYGBt93B
– Mike Belshe (@mikebelshe) September 11, 2023
“Il mio cuore si rivolge alle vere vittime dell’hacking: i singoli investitori e le aziende che vedono il loro marchio macchiato solo perché un’altra azienda non ha avuto il coraggio di dire la verità”, ha scritto lunedì in un post su Twitter.
Il post di Belshe, che riassumeva l’incidente come lo intendeva lui dal punto di vista di BitGo, era “pieno di bugie e mezze verità”, secondo Purcell, che ha affermato che Belshe è stato informato dell’incidente fin dal primo giorno in cui si è verificato.
“L’ultima cosa di cui il nostro settore ha bisogno è un ulteriore teatro e FUD”, ha detto Purcell. “Per noi, sì, è successa una cosa del genere e noi, insieme a Ripple e ai nostri partner, siamo intervenuti e abbiamo gestito la situazione. “
