Les étapes préliminaires de la recherche de preuves sont en cours dans un procès de 36 millions de dollars entre IRA Financial Trust, une plateforme de premier plan pour les comptes de retraite autogérés, et Gemini Trust Company, un fournisseur de portefeuilles d'échange de crypto-monnaie et de garde.
Selon la plainte, l'IRA affirme que Gemini n'a pas fourni de garanties adéquates pour protéger les actifs de crypto-monnaie des clients d'IRA Financial détenus sur la bourse Gemini. En outre, le procès prétend que Gemini n'a pas gelé les comptes dans un délai suffisant immédiatement après l'incident. Il est allégué que l'incapacité de Gemini à réagir rapidement a permis aux cyber-pirates de continuer à voler des fonds sur les comptes clients à la bourse de Gemini pendant des heures après que l'IRA a été notifié à Gemini.
«IRA Financial a intenté cette action en justice parce que, contrairement aux nombreuses déclarations publiques de Gemini sur la priorité à la sécurité, la plate-forme de Gemini avait inexplicablement un point de défaillance unique qui permettait aux criminels de voler des dizaines de millions de dollars de crypto-monnaies sur les comptes de retraite des clients. Cette action en justice vise à réparer les dommages importants subis par l'IRA. L'IRA a hâte de prouver ses affirmations devant le tribunal », a déclaré Eric Ostroff, conseiller juridique de l'IRA, dans l'annonce officielle du procès.
Point de défaillance unique allégué
Un élément clé du procès est l'affirmation d'IRA Financial selon laquelle, malgré l'approche multicouche très médiatisée de la sécurité, Gemini a créé une «clé principale» pour le compte financier IRA. Il cacherait plus tard tous les comptes clients IRA sous cette clé unique en tant que sous-comptes, créant un point d'entrée unique que les pirates devaient compromettre, ce qu'ils ont fait.
"En particulier, Gemini n'a jamais informé l'IRA de la puissance de cette clé principale. Au lieu de cela, Gemini lui-même a traité la clé principale de l'IRA comme s'il s'agissait d'informations triviales, échangeant à plusieurs reprises des e-mails non sécurisés et non cryptés contenant la clé principale avec l'IRA. Le système Gemini abritait non seulement un point de défaillance unique, mais contenait également une vulnérabilité généralisée qui permettait à une violation d'un seul compte client de se propager à tous les comptes », lit-on dans la plainte.
Dans un récent article de presse, un porte-parole de Gemini a nié les allégations et a déclaré que le procès n'était pas fondé, déclarant: «Nos normes de sécurité sont parmi les plus élevées de l'industrie et nous les mettons constamment à jour pour garantir que nos clients sont toujours protégés. Dans ce cas, dès que IRA Financial nous a informés de leur incident de sécurité, nous avons agi rapidement pour atténuer la perte de fonds de leurs comptes », comme cité dans l'article de presse.
La plainte poursuit en déclarant que les pirates ont réussi à voler respectivement des dizaines de millions de dollars en Bitcoin et Ethereum. IRA Financial s'engage à rembourser aux clients le produit récupéré du procès Gemini.
