IRA Financial cita Gemini per un attacco alle criptovalute da 36 milioni di dollari

Sono in corso le fasi preliminari della ricerca delle prove in una causa da 36 milioni di dollari tra IRA Financial Trust, una piattaforma leader per i conti pensionistici autogestiti, e Gemini Trust Company, fornitore di wallet di scambio e custodia di criptovalute.

Secondo la denuncia, IRA sostiene che Gemini non ha fornito garanzie adeguate per proteggere i beni in criptovaluta dei clienti di IRA Financial conservati nella borsa di scambio di Gemini. Inoltre, la causa afferma che Gemini non ha congelato i conti entro un lasso di tempo sufficiente subito dopo l’incidente. Si sostiene che l’incapacità di Gemini di reagire rapidamente ha permesso ai cyber-hacker di continuare a sottrarre fondi per ore dai conti dei clienti sulla borsa di Gemini dopo la notifica di IRA a Gemini.

“IRA Financial ha intentato questa causa perché, contrariamente alle numerose dichiarazioni pubbliche di Gemini sulla priorità della sicurezza, la piattaforma di Gemini aveva inspiegabilmente un singolo punto di guasto che ha permesso ai criminali di rubare decine di milioni di dollari di criptovalute dai conti pensionistici dei clienti. Questa azione legale cerca di porre rimedio ai danni ingenti subiti da IRA. IRA non vede l’ora di dimostrare le sue affermazioni in tribunale”, ha dichiarato Eric Ostroff, consulente legale di IRA, nell’annuncio ufficiale della causa.

Presunto singolo punto di fallimento

Un elemento chiave della causa è l’affermazione di IRA Financial secondo cui, nonostante l’approccio alla sicurezza a più livelli, molto pubblicizzato, Gemini ha creato una “chiave principale” per il conto IRA Financial. In seguito avrebbe nascosto tutti i conti dei clienti IRA sotto quella singola chiave come sottoconti, creando un unico punto di accesso che gli hacker dovevano compromettere, cosa che hanno fatto.

“In particolare, Gemini non ha mai informato IRA del potere di questa chiave principale. Al contrario, Gemini stessa ha gestito la chiave master di IRA come se fosse una banale informazione, scambiando ripetutamente con IRA e-mail non protette e non criptate contenenti la chiave master. Il sistema di Gemini non solo ospitava un singolo punto di falla, ma conteneva anche una vulnerabilità generalizzata che consentiva a una violazione di un singolo conto cliente di diffondersi su tutti i conti”, si legge nella denuncia.

In un recente articolo dei media, un portavoce di Gemini ha smentito le accuse e ha dichiarato che la causa è priva di fondamento, affermando: “I nostri standard di sicurezza sono tra i più elevati del settore e li aggiorniamo costantemente per garantire che i nostri clienti siano sempre protetti. In questo caso, non appena IRA Financial ci ha notificato il loro incidente di sicurezza, abbiamo agito rapidamente per mitigare la perdita di fondi dai loro conti”, come citato nell’articolo dei media.

La denuncia prosegue affermando che gli hacker sono riusciti a portare via decine di milioni di dollari rispettivamente in Bitcoin ed Ethereum. IRA Financial si impegna a rimborsare i clienti con i proventi recuperati dalla causa Gemini.