Considéré comme le plus grand bureau de change de Bitcoins avant de déposer son bilan, MtGox n’était pas la seule entreprise à avoir volé de l’argent. Flexcoin a affirmé que les pirates informatiques ont pris l’équivalent de plus de 600 000 euros lors d’une attaque dimanche dernier (2) et ont fermé les opérations. Un autre service d’échange de bitcoins, Poloniex, a admis mardi (4) qu’il avait 12,3 % d’argent en moins mais s’est engagé à payer les utilisateurs.
L’affaire Flexcoin est la plus compliquée. Le bureau de change affirme qu’une faille de sécurité a permis à un pirate informatique de faire des milliers de demandes simultanées pour envoyer de l’argent d’un compte à un autre jusqu’à ce que l’expéditeur ait un solde nul. Ainsi, tout l’argent stocké dans le hot wallet, c’est-à-dire dans des portefeuilles accessibles via Internet, a été volé. La perte a été de 896 BTC, soit environ 620 000 euros (1,4 million au taux actuel).
N’ayant pas d’argent pour payer la perte, Flexcoin a décidé de fermer ses portes immédiatement. Le Bitcoin n’est réglementé par aucune autorité centrale et il n’existe pas de moyen simple d’annuler les transactions, de sorte que la possibilité que les clients concernés récupèrent leur argent est pratiquement nulle. Ironiquement, une semaine avant l’attaque, Flexcoin avait publié le tweet suivant :
Mais tous les clients de Flexcoin n’ont pas perdu tout leur argent : ceux qui avaient payé une commission de 0,5 % pour que leurs fonds soient placés en chambre froide, conservés dans des machines sans accès à Internet, n’ont pas été touchés par la panne. Selon Flexcoin, ces clients seront contactés pour faire vérifier leur identité et les devises virtuelles seront transférées gratuitement.
L’histoire du Poloniex est plus heureuse, mais pas tant pour le propriétaire. Un hacker a exploité mercredi (4) une vulnérabilité qui lui a permis de transférer plus de Bitcoins que ceux réellement disponibles dans un compte, ce qui a généré la perte de 12,3% du solde du Poloniex. L’échec est très similaire à celui de Flexcoin : plusieurs transactions simultanées ont été traitées “presque en même temps” et approuvées par le système avant de constater que le solde était négatif.
Dans ce cas, il n’y aura pas de fermeture : Poloniex continuera à fonctionner et s’est engagé à faire payer les utilisateurs. Mais pour éviter un pillage massif et que l’entreprise ne soit à court d’argent pour payer tout le monde, le solde des utilisateurs a été temporairement réduit de 12,3 %. Le montant déduit sera enregistré et payé ultérieurement par le biais des redevances reçues des utilisateurs et des dons, y compris ceux faits de la propre poche du propriétaire du Poloniex.
La perte n’a pas été plus importante car Poloniex a découvert le problème rapidement après avoir constaté une activité de pillage inhabituelle ; dès qu’il a trouvé la faille, il a immédiatement gelé toutes les transactions. La société n’a pas communiqué le montant exact des pertes, mais un utilisateur affirme que les 12,3 % correspondaient à environ 50 000 euros. Beaucoup moins que les près de 500 millions de euros perdus par MtGox, mais un chiffre tout à fait pertinent.
