Lorsque Coincheck a été piraté pour un montant record de 530 millions de dollars (à l’époque) en janvier de cette année, il était en plein milieu de la frénésie ICO de fin 2017 et début 2018..
La somme était étonnante et dépassait même le tristement célèbre mont. Gox hack de 2014 où plus de 850000 BTC – 460 millions de dollars et 6% du total de BTC en circulation à l’époque – ont été volés au principal échange Bitcoin. Il est important de noter que dans les prix d’aujourd’hui, le mont. Le piratage de Gox est évalué à environ 3 milliards de dollars de BTC volés, ce qui le rend considérablement plus grand grâce à un prisme contemporain, cependant.
Pour vraiment mettre en perspective l’ampleur de ces pertes, Coincheck et Mt. Gox se classe parmi les plus grands braquages de tous les temps, crypto-monnaie ou non.
Alors que le mont. Gox a rapidement déposé son bilan après le piratage, Coincheck est resté étonnamment en activité et a même récemment été approuvé en tant que bourse sous licence par les services financiers japonais (FSA). Les deux Mt. Gox et Coincheck étaient et sont basés au Japon, et l’enregistrement et la réglementation des échanges requis par la FSA japonaise ont été inspirés par le mont. Piratage de Gox.
Contents
Bref historique de Coincheck
Coincheck a été fondé en 2014 au Japon et était l’un des échanges de crypto-monnaie les plus populaires du pays. Offrant une grande variété d’actifs numériques, notamment Bitcoin, Ether, LISK et NEM, Coincheck était une bourse émergente qui a rejoint la Japan Blockchain Association.
Depuis que Coincheck a été fondé en 2014, il n’était d’ailleurs pas soumis à de nouvelles exigences d’enregistrement d’échange avec la FSA du Japon – qui a déployé un cadre après le mont. Gox -, et a finalement été un facteur contribuant à ses mauvaises normes de sécurité qui ont conduit au piratage.
Coincheck a été dirigé par le président Wakata Koichi Yoshihiro et le chef des opérations Yusuke Otsuka dans la perspective du piratage..
Le hack Coincheck
Le 26 janvier 2018, Coincheck a publié sur leur Blog détaillant qu’ils restreignaient les dépôts et les retraits NEM, ainsi que la plupart des autres méthodes d’achat ou de vente de crypto-monnaies sur la plate-forme. Des spéculations ont surgi selon lesquelles l’échange avait été piraté, et les développeurs de NEM ont publié une déclaration disant qu’ils n’étaient pas au courant de tout problème technique dans le protocole NEM et que tout problème résultait de la sécurité de l’échange..
Le Article de blog Coincheck annonçant la suspension des services de pièces NEM
En outre, les développeurs de NEM ont réitéré que les bourses utilisent ses Application de signature intelligente de contrat Multisig pour fournir une couche de sécurité supplémentaire exigeant que plusieurs gestionnaires d’échange approuvent les transactions importantes.
Coincheck a par la suite tenu un haut niveau conférence où ils ont confirmé que les pirates avaient pris la fuite avec 500 millions de jetons NEM qui ont ensuite été distribués à 19 adresses différentes sur le réseau. Totalisant environ 530 millions de dollars à l’époque – NEM tournait autour de 1 USD à l’époque – le piratage Coincheck était considéré comme le plus grand vol de l’histoire de l’industrie.
Coincheck a été obligé de révéler des détails embarrassants sur la sécurité de leur échange, en mentionnant comment ils ont stocké tout le NEM dans un seul portefeuille chaud et n’ont pas utilisé la sécurité de contrat multisig NEM recommandée par les développeurs.
Koichiro Wada, PDG et président de Coincheck & COO Yusuke Otsuka à la conférence de presse Coincheck
L’utilisation de sommes importantes avec des portefeuilles actifs est une pratique de sécurité notoirement médiocre. La plupart des bourses utilisent aujourd’hui un système de portefeuille hybride chaud / froid, la grande majorité de la valeur étant stockée dans les portefeuilles froids et sécurisée via multisig.
Le fait que Coincheck n’ait pas été officiellement enregistré auprès de la FSA japonaise est également apparu à la suite du piratage. Au cours de leur conférence, les représentants de Coincheck ont montré de profonds remords pour la perte et se sont engagés à s’inscrire auprès de la FSA à la suite de l’incident. Le lendemain, Coincheck annoncé qu’ils rembourseraient les 260000 utilisateurs affectés par le piratage et qu’ils recevraient le soutien franc de leur communauté pour avoir choisi de le faire.
Simultanément, l’équipe de développeurs NEM avait étiqueté tous les NEM volés lors du piratage avec un message identifiant les fonds comme volés afin que d’autres bourses ne les acceptent pas. Cependant, NEM a annoncé qu’il mettait fin à sa chasse au NEM volé pour des raisons non précisées plusieurs mois plus tard, et la spéculation persistait selon laquelle les pirates étaient proche de l’encaissement les fonds volés sur le dark web.
Les conséquences
Les bourses japonaises ont formé une initiative de crypto-monnaie autorégulée à la suite de l’incident, et la FSA du Japon Publié plusieurs commandes d’amélioration commerciale à Coincheck.
Les médias grand public ont largement couvert le piratage et l’ont comparé à des échecs similaires d’échanges de crypto-monnaie dans le passé pour répondre à des normes de sécurité adéquates. À l’époque, la majeure partie de la couverture médiatique des crypto-monnaies était centrée sur leur nature obscure, leur volatilité dramatique et le manque de sécurité. Le piratage de Coincheck a considérablement alimenté ce récit car la somme volée était époustouflante et la crypto-monnaie utilisée – NEM – était inconnue de la plupart des gens du grand public..
NEM s’est rapidement déprécié après le piratage, et le prix a baissé encore plus tout au long de 2018, en ligne avec le marché baissier étendu dans l’industrie plus large. Actuellement, NEM se négocie à environ 0,07 USD, une chute brutale par rapport à ATH de plus de 1,60 USD début janvier..
Groupe Monex acquis Coincheck en avril 2018, qui a ensuite révisé les crypto-monnaies que Coincheck proposerait une fois qu’il aurait relancé et géré le remboursement des utilisateurs affectés par le piratage. La FSA japonaise a depuis intensifié son évaluation des échanges de crypto-monnaie dans le pays, mais il reste surprenant que Coincheck ait pu obtenir une licence et aller de l’avant après une telle catastrophe..
Coincheck a repris le négoce NEM à la mi-novembre et a rejoint la Japan Network Security Association. L’échange est maintenant ouvert aux nouvelles inscriptions.
Comparaisons avec le Mt Gox Hack
L’étendue du piratage Coincheck n’a été rivalisée que par quelques autres hacks, notamment le mont. Gox hack. Alors que, nominalement, Coincheck est le plus grand piratage de l’histoire de l’industrie, les effets du mont. Gox a eu beaucoup plus d’impact puisque les fonds volés ne consistaient qu’en Bitcoin et ont provoqué une correction soutenue du marché ainsi qu’un controverse avec les fonds volés et le fondateur. De plus, le mont. Gox a gaspillé 6% de la circulation globale du Bitcoin à l’époque sur un marché beaucoup moins mature qu’il ne l’est aujourd’hui.
Lire: L’histoire du Mt Gox Hack: le plus grand braquage de Bitcoin
La valeur actuelle du Mt. Le piratage Gox – à 3 milliards de dollars – dépasse de loin la valeur du piratage Coincheck d’environ 36,5 millions de dollars.
L’accumulation de hacks d’échange de crypto-monnaie tout au long de 2018 était assez extraordinaire. AML Q3 de Ciphertrace rapport souligne comment les pirates ont volé 927 millions de dollars au cours des trois premiers trimestres de 2018 seulement. En outre, le rapport révèle des informations intéressantes sur la facilité avec laquelle les pirates peuvent liquider des fonds volés via des échanges crypto-crypto non réglementés..
Selon le rapport, 97% des Bitcoins criminels ont été transférés dans des échanges dans des pays non réglementés aux lois anti-blanchiment faibles. Bien que le rapport n’analyse que Bitcoin, l’incertitude quant à la destination du NEM volé à Coincheck peut être illuminé par la tendance à blanchir les crypto-monnaies volées via des échanges plus petits et non réglementés à des prix réduits en Bitcoin ou des crypto-monnaies plus axées sur l’anonymat comme Monero et ZCash.
Agence nationale de renseignement de Corée du Sud mentionné que des hackers nord-coréens auraient pu être à l’origine du braquage Coincheck, mais il n’y a aucun moyen de confirmer si la Corée du Nord était directement responsable.
Leçons apprises
Malgré les retombées, Coincheck est désormais pleinement opérationnel et enregistré auprès de la FSA japonaise. Espérons que les dures leçons apprises tout au long de 2018 constitueront une amélioration fondamentale des pratiques de sécurité entre les bourses en 2019.
Indépendamment de l’évolution des échanges centralisés de crypto-monnaie, il est toujours préférable de garder le contrôle de vos clés privées et de ne jamais faire confiance à des tiers avec votre valeur. Comme Nick Szabo avec précision pronostiqué:
«Les tiers de confiance sont des failles de sécurité.»
Alors que les échanges décentralisés et les marchés P2P continuent de se développer, les utilisateurs ne peuvent qu’espérer que des tiers de confiance ne seront plus des composants nécessaires du futur paysage pour l’échange d’actifs numériques..
