Disparitions de 17 millions de Nano (XRB) volé, environ 170 millions de dollars

in #fr7 years ago

Bonjour à tous, en moins d’un mois une autre plateforme d’exchange de crypto-monnaies a été victime. 

 

Et oui je dis un autre, si vous n’êtes toujours pas au courant Coincheck avait subi un vol de plusieurs millions de NEM, je vous mets un article parlant de ceci juste ici.

Cet exchange n’est autre que Bitgrail qui était la première plate-forme d’échange à vendre des Nano (anciennement Railblocks). Si vous allez sur le site internet de Bitgrail ce message apparaît directement :

« Bitgrail informe ses utilisateurs que des contrôles internes ont révélés des transactions non autorisées qui ont conduit à un déficit de Nano de 17 millions, un montant faisant partie du portefeuille géré par Bitgrail. Aujourd’hui, une plainte concernant ces activités a été soumise aux autorités compétentes et fait l’objet d’une enquête policière.  Nous vous informons que les autres devises n’ont pas été impliquées. Afin de mener d’autres vérifications, toutes les activités seront temporairement suspendues (y compris les retraits et les dépôts). Cette procédure est indispensable pour la sécurité des utilisations. Nous offrons nos sincères excuses à nos clients et à ce impliqué dans les transferts illégaux de Nano sur notre plate-forme. D’autres annonces seront publiées sous peu. Merci de votre attention. »  

Vous l’avez donc compris 17 millions de nano ont disparu, du côté de leur compte twitter silence radio.  

Alors en fouillant un peu Nano a publié un article sur Medium.  

En bref dans cet article l’équipe de nano déclare qu’ils ont eu connaissance de cette perte le 8 février 2018, qu’un contact avec la police a été effectué. De leur propre enquête préliminaire rien ne fait croire à un problème dû au protocole Nano, le problème serait lié au logiciel BitGrail. Avant le 8 février ils n’ont pas eu connaissance de cette perte. C’est dans une conversation d’hier que Firano (CEO de BitGrail connu sous le nom de Bomber) les a informés de cette perte et a suggéré de modifier le registre afin de couvrir ses pertes, l’équipe a donc répondu que cela n’était pas possible et ce n’était pas dans leur éthique.

On peut donc comprendre qu’aucun fork ne sera mené et que Nano rejette la faute sur Bitgrail. 

Dans cet article vous avez un lien qui vous redirige sur un PDF qui nous montres la conversation entre les développeurs de Nano et The Bomber (Firano) ici.

C’est assez long je vais donc vous faire un résumé.

Une conversation entre Zack Shapiro (IOS développeur Nano) et Firano commence. 

Firano demande à parler avec Colin LeMahieu (Créateur et Développeur Nano) pour un problème dans lequel il enquête, Colin apparaît et Bomber lâche directe le fait qu’une perte massive de fond a été découvert.  

Il n’arrive pas à savoir quand cette perte a été effectué puisqu’un bug sur la date et l’heure des transactions a l’air d’être faussé (je ne comprends pas toutes la conversation sur cette partie). Mais un bug sur les horodatages des transactions a bien l’air d’être présent. 

S’ensuivent des échanges avec les adresses avec lesquels les transactions ont été effectuées depuis le wallet BitGrail, le montant annoncé dans la conversation est de 15 Millions de Nano, on apprend que Bitgrail utilise 2 adresse, une « chaude » donc connecté à internet et une « froide » dans laquelle tous les fonds étaient pour une meilleure sécurité, l’adresse 2 servait pour toutes les transactions d’envoi et de retrait et le seul moment où l’adresse 1 était utilisée c’était pour réapprovisionner le 2. 

Dans la conversation une adresse qui appartient soi-disant au pirate est envoyé par Bomber, 4 millions de Nano sont toujours sur un des 2 wallets. Bomber demande si un fork sur l’adresse « brulé », aucune réponse des devs. Bomber a l’air en panique il demande aux développeurs de travailler ensemble pour trouver une solution, en même temps une conversation de l’équipe Nano est en place.

Bomber annonce qu’il ira à la police demain pour éviter une négligence, il dit à Zack que si une solution pour le vol est possible il est préférable de le signaler à la police. Il hésite à prévenir les utilisateurs maintenant, on apprend que les fonds volés provenaient du wallet froid puis la conversation se clôt pour reprendre le lendemain. 

Le lendemain il demande si une solution a été trouvé et Zack répond qu’aucune déclaration de leurs parts ne sera faite. 

Le dernier message est de Bomber dans lequel il montre la déclaration qu’il va faire aux utilisateurs et finit par « Des millions de dollars de vos supporters dépendent de votre décision. J'espère que vous avez compris cela avant de prendre la décision de ne pas coopérer ».

On peut donc comprendre qu’un fork n’est pas programmé, l’équipe nano ne veut pas être associés à Bitgrail mais surtout que les fonds volés proviennent du wallet froid ce qui est vraiment louche puisqu’il est normalement impossible d’accès à distance. 

Il ne reste que 4M sur 19M de nano soit environ 20-25%.

Sur Twitter Francesco (Bomber) a fait quelque tweet sur cette affaire :  

« NANO sur BitGrail ont été volés. Malheureusement, il n'y a aucun moyen de les rendre à vous à 100% (nous avons seulement obtenu 4 millions XRN en ce moment). Les développeurs, comme vous l'avez deviné, ne veulent pas collaborer »  

 

« À la suite des accusations infondées qui ont été faites contre moi par l'équipe de dev et de la diffusion de conversations privées qui compromettent les enquêtes policières, Bitgrail s.r.l. est forcée de contacter la police afin de protéger ses droits et ses usagers »  

CZ le CEO de Binance (exchange) qui accepte depuis peu le Nano a tweeter :

« Nous sommes en contact avec Nano Team (Re: Bitgrail) et gèlerons les dépôts des adresses identifiées comme nous les recevons. C'est une des raisons pour lesquelles nous avons besoin de pièce PDG/fondateur pour soumettre des demandes d'inscription. Binance aidera où nous pouvons. Nous devons travailler ensemble pour protéger les utilisateurs. »  

Au niveau de la communauté le cours a baissé d’environ 1 euro ce qui n’est pas fou fou, pas de panique à bord. 

Sur twitter Francesco reçoit des menaces de partout, j’ai même vu un tweet avec toutes ses informations privées. Les gens ne comprennent pas comment on peut perdre autant (moi aussi d’ailleurs), Bitgrail était pendant un moment le seul à proposer le Nano et récemment d’autre exchange comme Binance l’accepte sauf que beaucoup d’utilisateurs Bitgrail n’ont pas pu retirer leurs fonds puisque le retrait de Nano était désactivé depuis le 28 janvier. 

« XRB dépôts et retraits, actuellement suspendus pour l’optimisation du système interne. Merci de votre compréhension. »

On peut même se demander si la perte ne date pas d’avant le 8 février.

D’autres utilisateurs ne pouvaient pas retirer parce que la vérification des identités était très longue, dans un post rédit d’un membre de l’équipe Nano il y a 2 semaines on peut lire :

« Nous avons parlé à Bomber pendant plusieurs heures aujourd'hui du système de vérification qu'il a mis en place. Bien que nous comprenions qu'il essaie de protéger son entreprise contre tout problème juridique, il est également important que, si un système de vérification est mis en place, les gens puissent effectivement être vérifiés. Plusieurs d'entre vous attendaient depuis décembre pour ces vérifications à effectuer qui sont déraisonnables et frustrantes. Quand il a parlé à Bomber aujourd'hui, il a mentionné qu'il avait 2 000 comptes en attente de vérification. Parce qu'il n'y a pas de système de vérification automatisé en place et que des documents sensibles sont en cause, il a déclaré que seuls lui et un autre employé étaient en mesure de traiter les vérifications. Nous l'exhortons à mettre de côté son autre travail et à prendre soin de cette question immédiatement. »

On peut donc comprendre la haine des utilisateurs qui n’ont même pas eu l’occasion de déplacer leurs fonds pour les sécuriser.

On va finir cet article sur des tweets et posts reddit de personne ayant perdu beaucoup d’argent.

 « Souffrant de dépression sévère pendant des années. Nano était tout ce que j'avais. Littéralement j’aurais pu effacer ma dette si je réussissais à obtenir les 30k de nano que je possédais. Je ne peux pas décrire ce que ma tête traverse en ce moment. Je ne sais pas à qui parler. C'est fini pour moi. Merci d'avoir été une si grande communauté, de rendre les choses toujours meilleures et excitantes pour moi. Tout le meilleur, John » 

 Vous avez compris, il a perdu 147k nano soit 1.4 millions de dollars.  

Voilà pour cet article assez long, j’ai hésité à faire plusieurs parties mais je préfère tout mettre ensemble.

J’espère avoir un bon soutien pour cet article qui m’a pris énormément de temps entre la lecture de tous les articles, la compréhension, les recherches. J’ai essayé de mener mon enquête et de vous résumer le tout (oui c’est un grand résumé ahah).

J’espère avoir un bon soutien pour cet article qui m’a pris énormément de temps entre la lecture de tous les articles, la compréhension, les recherches. J’ai essayé de mener mon enquête et de vous résumer le tout (oui c’est un grand résumé haha).

N’hésitez pas à donner votre avis dans les commentaires. 

Pour vous qui est le coupable entre Francesco et L’équipe Nano ?  

Un partage serait vraiment sympa de votre part au vu du temps que m’a pris cet article.   

Sort:  

j'ai lu en diagonale ;-). Va falloir bosser plus sur la sécu avec tous ces hacks.

L'article est assez long mais j'ai essayé de faire le plus cours possible sans oublier trop de détails puisque on ne sait pas d’où provient la perte soit protocole soit hack soit vole de la part du CEO Bitgrail. Bien sur faut bosser la sécu il y a des millions en jeu sur chaque exchange et au vu de l’ampleur que prennent les crypto c'est une mauvaise pub à chaque vol de cette envergure

Je viens de lire en détails. Merci pour l'article.

Je ne sais pas quoi penser entre les dev et l'exchange mais bon je pense vraiment que la sécurité est assez pourrie en général, même sur les plus gros.

De fait les gens qui gardent de grandes quantités de monnaies en ligne sont totalement irresponsables ou ignorante de l'écosystème. Il y a un gros boulot d'éducation!

Alors effectivement faut revoir la sécurité et au vu des twitte et des post reddit le site aurait mis en place un JavaScript coté client pour les échanges et il semblerait qu'avec quelques modifications dans le code source les gens pouvaient modifier les échanges et s'amuser à vider les comptes. Une fois la fail découvert le propriétaire du site aurait vendu le reste pour essayer de couvrir les pertes. Après il faut démêler le vrai du faux