Deux autres marchés bitcoin ont été pillés ces quelques derniers jours. Flexcoin a perdu toutes ses pièces et a dû fermer ses
portes.
Flexcoin a admis ne pas disposer de ressources
suffisantes pour couvrir les 896 bitcoins dérobés,
d’une valeur de 365.000 livres (608.200 dollars). Les bitcoins
des comptes hors-ligne de Flexcoin, pour lesquels
les déposants doivent payer des frais, n’ont pas été affectés.
Poloniex, l'autre marché à avoir été piraté, a
admis avoir perdu 12,3% de ses actifs en raison d’un problème dans son
système de transactions. Son propriétaire s’est excusé et ne fermera pas le
marché.
Voici un extrait de l’article Bitcoin Bank Flexcoin
Closes After Hack Attack,
publié par The Guardian :
Flexcoin
a été forcé de fermer ses portes après s’être fait voler dimanche dernier 896
bitcoins, d’une valeur de 365.000 livres, lors
d’une attaque informatique. La compagnie a fermé son site internet et publié
mardi matin un communiqué de presse contenant des informations détaillées
quant à ses pertes.
« Le 2 mars, 2014, Flexcoin
a été l’objet d’une attaque lors de laquelle toutes ses pièces stockées en
ligne lui ont été volées, explique le communiqué. Dans la mesure où Flexcoin ne dispose pas de ressources ni d’actifs pour
couvrir ses pertes, le marché fermera immédiatement ses portes ».
Les actifs de la société n’ont pas tous été volés. En
concordance avec les meilleures pratiques du système financier bitcoin, Flexcoi détenait certaines de ses pièces dans des
unités de stockage hors-ligne. Ces bitcoins sont en
sûreté, mais n’appartiennent qu’à ceux qui
ont explicitement demandé à ce que leurs pièces soient stockées hors-ligne
(et payé 0,5% de frais).
"Nos utilisateurs qui ont déposé leurs bitcoins hors-ligne seront contactés par Flexcoin afin que leur dientité
puisse être vérifiée. Une fois identifiés, les pièces déposées hors-ligne
seront transférées sans frais. Les bitcoins stockés
hors-ligne n’étaient pas à la portée des pirates. Flexcoin
tentera de travailler avec les autorités afin de retracer l’origine de
l’attaque ».
Il y a tout juste six jours, la société se vantait de ne pas avoir été
affectée par la fermeture de Mt Gox, autrefois le
plus gros marché bitcoin du monde :
Le jour où la société a admis ses pertes, une autre firme bitcoin, Poloniex, a déclaré
avoir perdu 12,3% de ses réserves suite à une attaque de pirates
informatiques. Poloniex est un marché bitcoin, et a annoncé qu’elle fonctionnerait sur le
modèle d’une réserve fractionnaire jusqu’à ce que ses pertes soient
couvertes.
Poloniex
pillé de 12,3% de ses actifs. Le propriétaire s’excuse.
Le problème de Poloniex semble
provenir d’un défaut de système qui a permis à plusieurs transactions d’être
effectuées simultanément plutôt que par séquences, permettant ainsi l’apparition
de balances négatives.
Sur le Forum bitcoin, le propriétaire
de Poloniex a expliqué la situation et s’est excusé
auprès des propriétaires de bitcoin.
Où
s’est trompé Poloniex ?
Le problème majeur est ici que le système d’audit et de sécurité ne recherchait
pas spécifiquement les balances négatives. L’autre erreur commise est que les
retraits doivent être placés en ligne d’attente à chaque étape. Une telle
situation n’aurait pas pu se produire si les requêtes avaient été satisfaites
séquentiellement plutôt qu’en simultané.
Poloniex a-t-il
réagit correctement ?
Le système de sécurité existant a détecté des activités inhabituelles et a
gelé BTC. C’est ainsi que l’activité a été découverte.
Qu’en est-il aujourd’hui ?
Je cite le commentaire du dirigeant :
« J’en assume la responsabilité et
m’engage à rembourser la dette de BTC. Les actifs du marché sont à découvert
de 12,3%. Parce qu’il n’y a pas suffisamment de bitcoins
pour couvrir les balances de tous, toutes les balances seront temporairement
réduites de 12,3%. Comprenez qu’il s’agit là d’une nécessité absolue – si je
ne mettais pas en place cet ajustement, les gens retireraient certainement
leurs bitcoins aussi rapidement que possible afin
de s’assurer de ne pas faire partie des 12,3% restants. En plus des
conséquences évidentes d’un tel retrait de bitcoins,
la situation serait injuste – certains récupèreraient tout de suite tout leur
argent, et d’autres n’en auraient pas du tout.
Les quantités de bitcoins retirées des balances de
chacun seront enregistrées, et les fonds tirés des frais de change et de mes
propres donations (qui ne pourront j’en ai peur aller bien loin) seront
redistribuées régulièrement aux utilisateurs qui auront subi des déductions.
Les frais de change seront augmentés afin d’expédier au mieux la couverture
de la dette. Beaucoup ont suggéré 1,5%, et j’y réfléchirai bientôt à mon
tour.
Si
je disposais des fonds nécessaire à la couverture de cette dette, je la
couvrirai sans hésiter. Mais je n’en dispose pas, et ne peux pas les faire se
matérialiser.
A l’heure actuelle, les marchés et les retraits sont toujours gelés, et le
resteront jusqu’à ce que les déductions soient calculées. Je vous demande
donc de ne pas placer de demande de retrait aujourd’hui, puisqu’elles ne
pourront être satisfaites et seront certainement annulées avant que les
marchés ne rouvrent. Les délais d’attente pour retraits sont d’environ 12
heures. J’ai bien peur qu’il soit 3 heures du matin où je me trouve en ce
moment, et je pense sage de me reposer avant de prendre des mesures.
En conclusion...
Je m’excuse de
cette situation, et je suis très reconnaissant envers ceux qui ont exprimé
leur support et me font confiance. J’assume pleine responsabilité pour ce
qu’il s’est passé et ferai moi-même des donations. Je n’enregistrerai pas de
profits avant que la dette soit payée.
Je suis ouvert à toute suggestion
constructive. Je
ne dispose pas des fonds nécessaires au remboursement de la dette, et nous
aurons besoin de travailler ensemble. Puisque toutes les transactions sont
enregistrées, et puisque l’attaque informatique est récente, il pourrait être
possible de tracer les bitcoins manquants ».
Les récupérer sera une autre histoire…