Jusqu'à ce que la mort nous sépare — Ce que l'effondrement de QuadriGacX signifie pour la sécurité crypto. Après les constatations choquantes selon lesquelles au nord de 1,7 milliard de dollars de crypto-monnaie a été volé en 2018, la sécurité de la crypto ne cesse de s'aggraver.
La réponse que la plupart des experts donnent pour éviter les hacks est d'utiliser le stockage à froid. Mais que se passe-t-il si ce stockage frigorifique est perdu ou endommagé ? Perdre votre portefeuille matériel personnel peut être dévastateur, mais qu'en est-il de perdre 190 millions de dollars dans les fonds des utilisateurs comme QuadriGacX, le plus grand échange de crypto au Canada ?
Désolé, monsieur, j'ai perdu mes portefeuilles frigorifiques
QuadriGacX a choqué le monde crypto le mois dernier en annonçant qu'il avait perdu plus de $190mn dans les fonds de crypto-monnaie détenus dans des portefeuilles de stockage à froid. Ces portefeuilles étaient sous le seul contrôle du PDG Gerald Cotten.
Alors, qu'avait-il à dire à ce sujet ? Eh bien, pas beaucoup en fait. Malheureusement, il est décédé soudainement en Inde, comme annoncé sur la page Twitter de QuadriGacX le 14 janvier :
Certes, sa contribution à Bitcoin au Canada sera grandement manquée. Malheureusement, ce qui manquera encore plus, c'est les 116 000 fonds des utilisateurs, dont l'emplacement est supposé emmené dans sa tombe.
Le tweet de QuadriGacX sur la mort de leur PDG a provoqué une vague de condoléances, ainsi qu'un barrage de colère et d'abus, certains théoriciens du complot suggérant même qu'il aurait simulé sa propre mort :
Le fait qu'une seule personne ait accès aux portefeuilles frigorifiques pour tout un échange semble peu improbable - au mieux irresponsable. Et si l'entreprise doit être croyée, cela laisse l'industrie de la crypto plutôt ridicule.
QuadriGacX a déclaré dans une déclaration :
« Au cours des dernières semaines, nous avons beaucoup travaillé pour résoudre nos problèmes de liquidité, qui comprennent la localisation de nos très importantes réserves de crypto-monnaie détenues dans des portefeuilles froids nécessaires pour satisfaire les soldes de crypto-monnaie clients lors du dépôt et l'approvisionnement d'une institution financière pour accepter les traites bancaires en cours de transfert à nous. Malheureusement, ces efforts n'ont pas été couronnés de succès. »
Est-ce que QuadrigacX disposait d'un stockage frigorifique en premier lieu ?
Les rumeurs commençaient à se demander si l'échange avait même un stockage frigorifique en premier lieu. Selon le Wall Street Journal, les analystes de la sécurité n'étaient pas si sûrs.
Jeudi dernier, ils ont rapporté la possibilité étonnante que les crypto-monnaies manquantes de QuadriGacX ne soient pas bloquées dans des portefeuilles froids après tout. Ils peuvent simplement manquer... ce qui conduit à toute une gamme de possibilités.
Selon un rapport de Chain Analysis publié par Zerononcense :
« Il semble qu'il n'y ait pas de réserves de portefeuille froid identifiables pour QuadriGacX. »
Les résultats ont été fondés sur plusieurs facteurs, mais cette théorie est principalement due au fait que les portefeuilles principaux identifiaient jusqu'à présent des transactions enregistrées qui n'étaient généralement pas réglées par des portefeuilles froids.
Les portefeuilles froids sont généralement pour les transactions importantes
Pour qu'un échange utilise des portefeuilles froids, ils doivent faire des efforts extraordinaires pour assurer la sécurité des fonds de leurs clients. Cela signifie que la taille des transactions est généralement très importante. Lorsqu'une transaction de portefeuille froid est lancée, elle implique généralement des millions de dollars, ce qui mérite la nécessité d'une protection supplémentaire.
Pourtant, les types de transactions sur les portefeuilles QuadriGacX étaient petits, ce qui rendait difficile de justifier qu'ils étaient détenus dans des portefeuilles froids en premier lieu.
WSJ a analysé 50 comptes de clients de QuadriGacX et n'a pu trouver aucun lien avec le stockage frigorifique auquel la société fait référence.
Les discussions ont commencé à abonder sur la question de savoir si l'échange était en train de tirer une énorme escroquerie de sortie. Et plus de déménageurs et de shakers se sont joints à la conversation, le PDG de MyCrypto Taylor Monahan suggérant qu'il n'y avait pas non plus de portefeuilles froids pour leurs transactions Ethereum.
« Je ne vois aucune indication que Quadriga ait jamais des portefeuilles froids ou de réserve pour ETH », dit-elle.
Elle est même allée plus loin pour souligner que les propriétaires de QuadriGacX avaient toutes les données KYC nécessaires sur leurs clients pour déplacer l'argent et ouvrir un compte d'échange.
Qu'est-ce que cela signifie pour la sécurité crypto ?
Clairement, la débâcle d'échange QuadriGacX a de nombreux attraits pour l'industrie de la crypto. Le premier (qui s'applique à tout incident de sécurité) est de ne pas conserver vos fonds sur un échange. Les utilisateurs doivent toujours être en charge de leurs propres fonds.
Mais les échanges peuvent aussi tirer des leçons de QuadrigacX en pratiquant la bonne gouvernance et en assurant un processus multi-signature pour protéger les fonds.
Ledger est le fournisseur de portefeuille matériel le plus sécurisé au monde. Pourtant, le PDG Eric Larchevêque comprend que les portefeuilles de matériel ne sont pas une solution pratique pour les entreprises. Après tout, à qui donnez-vous le portefeuille ? C'est comme remettre les clés du coffre à une seule personne. Il a dit :
« Un ensemble de règles doit être appliqué par du matériel sécurisé certifié. Par exemple, les demandes de paiement devraient être soumises à des autorisations multiples de fonctionnaires agréés. Il est essentiel d'instaurer une gouvernance de façon à ce que les fonds ne soient pas mis en péril si un agent est compromis. »
À cette fin, la société dispose d'une solution pour les entreprises traitant de grandes quantités de crypto-monnaie appelée le Ledger Vault. Il s'agit d'une solution de gestion d'auto-garde de crypto-monnaie multi-autorisation qui nécessite plusieurs personnes pour confirmer une transaction.
Crypto peut apprendre des banques
Panxora est un autre cabinet chargé de détenir les fonds de ses clients dans des portefeuilles froids. Le PDG Gavin Smith croit que les échanges de crypto sont naïfs, et il fait également écho aux sentiments de Larchevêque :
« Des événements comme ceux-ci montrent que beaucoup dans l'industrie de la crypto sont encore naïfs quand il s'agit de configurer leurs systèmes de sécurité. Tout se résume au bon sens. Si les portefeuilles froids sont certainement la meilleure option pour protéger les actifs des clients, le processus de retrait de fonds doit également être pris en compte.
« Il y a beaucoup à apprendre de la banque traditionnelle ici. Les échanges de crypto sont tout aussi capables de configurer un processus dans lequel le retrait de fonds nécessite plusieurs parties pour signer une transaction, et les mots de passe sont stockés dans des emplacements hors connexion sécurisés. »
Et pour QuadriGacX et leur histoire ?
Il semble qu'il y ait un moyen pour l'équipe QuadriGacX de prouver son histoire et d'effacer son nom au fil du temps. Comme l'a souligné Deadal Nix sur Twitter, si ce qu'ils disent est vrai, ils devraient publier les adresses pour prouver que les fonds dans les portefeuilles froids présumés restent là.
S'ils ne peuvent pas le faire, alors c'est probablement l'une des escroqueries de sortie les plus élaborées que crypto a vu jusqu'à présent.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.