Le piratage Bitcoin de Bitfinex : ce que nous savons (et T )

Plus de 60 millions de dollars de Bitcoin ont été volés hier sur ONEune des plus grandes plateformes d'échange de devises numériques au monde, et près de 24 heures plus tard, l'événement reste toujours entouré de mystère.

Ce qui est clair, cependant, c’est que l’impact est de grande portée.

Le vol de Bitfinex représente la plus grande perte de bitcoins par une plateforme d'échange depuis le tristement célèbre Mt Gox au Japon.perdu 744 408 BTCdébut 2014 (d'une valeur de 350 millions de dollars), une violation qui entraînerait à terme la cessation de ses activités.

Au moment de la mise sous presse, la valeur des 119 756 BTC volés à Bitfinex s'élève à environ 66 millions de dollars, soit environ 18 % de ce qui a été perdu par Mt Gox.

Compte tenu de son ampleur, le vol a suscité confusion et frustration parmi les commerçants et les observateurs du marché depuis son annonce.

Les sources proches de la bourse ont largement évité de commenter si les 119 756 BTC volés représentent l'ampleur totale du piratage, et Bitfinex lui-même n'a pas encore publié les conclusions de son enquête interne en cours.

Voici ce que nous savons (et ce que nous ne savons T ) jusqu'à présent :

Ce que nous savons

Les comptes multi-signatures ont été impactés

La source de la vulnérabilité semble résider dans la manière dont Bitfinex a structuré ses comptes et dans son utilisation du fournisseur de portefeuille Bitcoin BitGo comme couche de sécurité supplémentaire sur les transactions des clients.

Annoncés en 2015, Bitfinex et BitGocréé un systèmedes portefeuilles multi-signatures, ceux dans lesquels les clés sont réparties entre un certain nombre de propriétaires pour gérer les risques, seraient fournis à chaque client.

La bourse déclarait à l'époque :

« L’ère du mélange des Bitcoin des clients et de toutes les expositions de sécurité associées est révolue. »

Comme indiqué dans la citation, les entreprises ont cherché à trouver une alternative au processus standard utilisé par les bourses à l'époque, qui voyait les fonds des clients mélangés dans des portefeuilles hors ligne plus grands et des portefeuilles connectés ou «HOT» utilisés pour répondre aux demandes de liquidité.

Au lieu de cela, chaque utilisateur de Bitfinex dispose de son propre ensemble de clés créé sur la plateforme, en utilisant un arrangement de clés 2 sur 3 dans lequel Bitfinex détenait deux des clés (dont une hors ligne) et BitGo utilisait la troisième pour cosigner les transactions.

Pour retirer un montant aussi important de fonds, BitGo aurait probablement dû approuver ces transactions.

Les pertes de clients de Bitfinex sont importantes

Bien que l’ampleur totale des pertes de clients sur une base individuelle ne soit pas claire, des signes indiquent qu’un sous-ensemble important de la communauté de trading Bitcoin a été touché.

Dans les heures qui ont suivi la nouvelle, les membres de la communauté se sont rendus sur Twitter et Redditsignalerque leurs comptes avaient été vidés.

Certains utilisateurs ont exprimé leur exaspération malgré la mise en place de mesures de sécurité comme l’authentification à deux facteurs, dans laquelle des appareils secondaires (comme un téléphone portable) sont utilisés pour fournir une couche de clé d’accès supplémentaire.

D'autre part, les fonds transférés vers la bourse après le piratage seraient sécurisés, mais la bourse n'a pas encore publié de détails sur le moment et la manière dont les retraits seront gérés.

Les prix du Bitcoin ont fortement chuté

ONEun des impacts les plus directs du piratage de Bitfinex a pu être observé sur le prix du Bitcoin, qui a chuté après l’annonce de la nouvelle.

Les prix ont baissé deprès de 20%, chutant jusqu'à 480 USD avant de se redresser.

Au moment de la mise sous presse, le prix du Bitcoin est d'environ 552 $, selon l'indice des prix Bitcoin USD de CoinDesk , en hausse d'environ 70 $ par rapport au plus bas d'hier.

Bitfinex reste hors ligne

Au moment de la mise sous presse, Bitfinex reste hors ligne, son message annonçant le piratage étant toujours visible pour les utilisateurs.

Les déclarations de Bitfines suggèrent que la société cherche dans un premier temps à mettre le site en ligne afin que les utilisateurs puissent vérifier leurs soldes et déterminer si leurs comptes ont été vidés.

Ce que nous ne savons T

À qui la faute ?

Étant donné le montant d’argent en jeu, de nombreux membres de la communauté ont cherché un bouc émissaire.

Bitfinex lui-même était une cible évidente, car il possédait deux des trois clés privées nécessaires à la perte des fonds des comptes multi-signatures. D'autres se sont demandé si les faiblesses du modèle de BitGo n'avaient pas également été révélées lors de l'incident.

Hier, BitGo s'est rendu sur les réseaux sociaux pour déclarer qu'une enquête interne n'avait révélé aucune preuve d'unviolation de serveurde leur côté.

Pourtant, malgré ces assurances, certains observateurs ont accusé le service d'avoir « signé aveuglément » le retrait de près de 120 000 BTC et se sont demandé pourquoi aucune contre-mesure potentielle n'était en place en cas de mouvement de fonds de cette ampleur.

Avec des volumes de transactions sur 30 jours légèrement supérieurs à 600 000 BTC, le piratage représentait environ un sixième de la taille des commandes mensuelles de la bourse.

Quand les fonds fiduciaires seront-ils accessibles ?

ONEune des questions les plus fréquentes parmi les clients concerne le statut des dépôts non libellés en Bitcoin. Depuis la révélation du piratage, Bitfinex a déclaré que seuls ses avoirs en Bitcoin étaient concernés.

De nombreux clients se tournent désormais vers les réseaux sociaux pour demander quand ils pourront accéder à ces fonds ou les retirer.

Des réponses pourraient toutefois arriver bientôt. Le représentant Zane Tackett, qui a répondu aux questions via les réseaux sociaux,depuis que l'incident a été révélé pour la première fois, a déclaré que d'autres mises à jour sont à venir.

D’autres échanges ont-ils été impactés ?

D'autres observateurs du marché ont QUICK spéculé sur la possibilité que la panne puisse entraîner des complications sur d'autres bourses qui auraient pu utiliser Bitfinex comme source de liquidités.

Il est connu que Bitfinex proposait une API et qu'elle était à un moment donné utilisée par les bourses, bien que les principaux Marchés finaux semblaient être les courtiers et les traders.

Un tel problème a été révélé par un piratage chez Bitstamp endébut 2015, lorsque les échanges, les commerçants et les fournisseurs de distributeurs automatiques de billets connectés à l'échange ont connu une perturbation notable.

Au moment de la mise sous presse, il n'était pas clair si des échanges plus petits avaient été touchés, et les échanges plus petits contactés par CoinDesk n'ont signalé aucune perturbation.

Cependant, dans des déclarations à CoinDesk, les échanges Kraken et Bitstamp ont indiqué que leurs approches de mise en œuvre de la Technologies multisig de BitGo différaient de celle de Bitfinex.

« Pour l'instant, je peux déjà dire que la mise en œuvre de la Technologies MultiSig de BitGo par Bitstamp est fondamentalement différente de ONE de Bitfinex », a déclaré Vasja Zupan, responsable du développement commercial de Bitstamp, à CoinDesk.

Dans un e-mail, le PDG de Kraken, Jesse Powell, a déclaré que même s'il ne pouvait T fournir de détails sur les mesures de sécurité de l'échange, il a fait remarquer que « nous sommes confiants dans notre configuration » à la lumière de la violation de Bitfinex.

Le modèle économique de BitGo est-il en danger ?

Que BitGo soit considéré comme fautif ou non, il est possible qu’il perde la bataille de Analyses publique.

Des sources suggèrent que le modèle commercial de BitGo reposait principalement sur la facturation des services aux entreprises clientes, et que les échanges de Bitcoin étaient le principal marché cible de l'entreprise.

Un représentant majeur de la bourse a déclaré que l'incident avait soulevé des problèmes avec le modèle de sécurité multi-signatures et que le déploiement ultérieur serait probablement retardé en raison de la violation.

Cependant, les déclarations des échanges sur la viabilité de leurs propres implémentations BitGo suggèrent qu'au moins certains des clients du service ne cherchent T à apporter de changements, du moins pour l'instant.

La CFTC est-elle à blâmer ?

Bitfinex a conclu un accord avec la Commodity Futures Trading Commission (CFTC) des États-Unis plus tôt cette année pour des violations commerciales présumées, en payant une somme d'argent.règlement de 75 000 $sans pour autant admettre ni nier les accusations.

La CFTC avait alors déclaré que le problème résidait dans la manière dont la plateforme contrôlait les clés privées de Bitcoin liées aux fonds des utilisateurs liés aux transactions financées. L'agence estimait que ces bitcoins n'étaient T réellement « livrés » après leur achat, mais restaient sous le contrôle de Bitfinex.

Depuis le piratage, certains critiquesa pointé vers cette languedans le règlement de la CFTC, créant les conditions idéales pour le vol en interdisant à Bitfinex d'utiliser le stockage à froid pour les fonds des clients.

Le groupe de défense Coin Center, cependant,proposé de rejeter l'affirmation selon laquelle la CFTC était à blâmer, arguant que le multi-sig est ONEune des nombreuses approches de sécurité et, comme d'autres, est sujet à la vulnérabilité ou à l'échec.

Les documents de presse de l'année dernière indiquent également que la relation de Bitfinex avec BitGo est antérieure à l'enquête de la CFTC.

Image viaShutterstock

Déclaration de transparence:CoinDesk est une filiale de Digital Currency Group, qui détient une participation dans BitGo.