La plateforme Crypto.com a annoncé avoir remboursé intégralement les victimes. Le casse est évalué à quelques dizaines de millions d’euros.

Il y a donc bien eu un accès frauduleux à la plateforme Crypto.com et qui a débouché sur des transactions indésirables dans certaines crypto-monnaies. C’est ce que le service a fini par admettre le jeudi 20 janvier 2022 dans une page publiée à l’attention de sa clientèle, peu après une période de flottement de quelques jours où l’incertitude régnait.

Pour qui ne connaîtrait pas Crypto.com, il s’agit d’un site proposant des services d’échange en crypto-monnaie. Elle est similaire à Coinbase, l’une des plateformes les plus connues du secteur, où l’on peut acheter et vendre des cryptos contre des euros, mais aussi convertir des devises entre elles, et suivre l’évolution des cours pour essayer de faire une belle opération.

Crypto.com
La page d’accueil de Crypto.com, qui met en avant Matt Damon. // Source : Capture d’écran

Crypto.com a acquis depuis quelques mois une certaine visibilité, notamment en s’offrant les services de l’acteur américain Matt Damon pour une publicité. On peut aussi retrouver des annonces pour cette plateforme autour des terrains de football, signe de l’ampleur que le service a pris. Une ampleur qui, revers de la médaille, a visiblement aussi attiré des personnes malveillantes.

Un larcin de quelques dizaines de millions d’euros

Les circonstances exactes dans lesquelles ces accès frauduleux aux transactions individuelles ont pu se produire restent à éclairer. Mais un bilan provisoire des pertes peut d’ores et déjà être établi : 483 comptes ont été touchés, ce qui est peu au regard de la taille de sa communauté — 10 millions, rapportait le Los Angeles Times mi-novembre 2021.

Les sommes extraites sont par contre bien plus conséquentes : « Les retraits non autorisés ont totalisé 4 836,26 unités d’Ethereum, 443,93 bitcoins et environ 66 200 dollars dans d’autres devises », évalue Crypto.com. Actuellement, un seul bitcoin s’échange aux alentours de 37 000 euros. Pour Ethereum, une seule unité se négocie vers les 2 800 euros.

Le butin ainsi dérobé s’élève quelques à dizaines de millions d’euros. Une somme élevée, mais que Crypto.com assure avoir remboursée intégralement aux personnes victimes de ces virements forcés. Crypto.com a une certaine capacité financière : on dit qu’elle a déboursé 700 millions de dollars pour s’acheter le droit de renommer une enceinte sportive en « Crypto.com Arena ».

443,93 BTC, 4 836,26 ETH et 66 200 dollars dans d’autres cryptos ont été extraits lors de cette opération frauduleuse

La plateforme ne semble pas avoir détecté d’autres transactions illégitimes, hormis les 483 comptes initiaux. « Dans la majorité des cas, nous avons empêché le retrait non autorisé, et dans tous les autres cas, les clients ont été entièrement remboursés », synthétise le message, qui vise à dissiper les reproches dont il a pu faire l’objet sur les réseaux sociaux.

Au début de l’affaire, dès le 17 janvier, Crypto.com avait déclaré sur Twitter que des activités non autorisées avaient été détectées sur plusieurs comptes. Il était ajouté que les fonds n’étaient pas menacés. Finalement, cela s’est avéré faux. Mais dans le doute, toutes les opérations de retrait avaient été suspendues pendant plusieurs heures, le temps de procéder à des ajustements de sécurité.

D’après Crypto.com, ces transferts de fonds invalides ont pu être menés à bien sans que l’utilisateur ait saisi le code d’authentification forte, qui permet, en plus du mot de passe, d’ajouter une seconde couche de protection. Si la procédure de validation à deux facteurs a ainsi été mise à mal, le problème qui est survenu sur Crypto.com est significatif, car il s’agit d’une protection clé.

Cet écart dans la procédure, détaille le site, « a déclenché une réponse immédiate de plusieurs équipes pour évaluer l’impact. Tous les retraits sur la plateforme ont été suspendus pendant la durée de l’enquête ». La suspension des retraits a duré près de 14 heures. Mais les dégâts sur l’image de marque de Crypto.com, eux, pourraient se prolonger davantage.