De voorbereidende fasen van het vinden van bewijs in een rechtszaak van $ 36 miljoen tussen IRA Financial Trust, een toonaangevend platform voor zelfbeheerde pensioenrekeningen, en Gemini Trust Company, een aanbieder van cryptocurrency-uitwisseling en bewaarportefeuilles, zijn aan de gang.
Volgens de klacht beweert IRA dat Gemini geen adequate waarborgen heeft geboden om de cryptocurrency-activa van IRA Financial-klanten op de Gemini-beurs te beschermen. Bovendien beweert de rechtszaak dat Gemini de accounts niet binnen voldoende tijd onmiddellijk na de crash heeft bevroren. Er wordt beweerd dat Gemini's onvermogen om snel te reageren, cyberhackers in staat stelde urenlang geld van klantaccounts op Gemini's beurs over te hevelen nadat Gemini op de hoogte was gebracht van een IRA.
“IRA Financial heeft deze rechtszaak aangespannen omdat, in tegenstelling tot Gemini's vele openbare verklaringen over de prioriteit van beveiliging, Gemini's platform op onverklaarbare wijze een single point of failure had waardoor criminelen tientallen miljoenen dollars aan cryptocurrencies konden stelen van pensioenrekeningen van klanten. Deze rechtszaak probeert de enorme schade te herstellen die de IRA heeft geleden. IRA kijkt ernaar uit om haar beweringen in de rechtbank te bewijzen”, zei IRA-advocaat Eric Ostroff in de officiële aankondiging van de rechtszaak.
Verondersteld single point of failure
Een belangrijk onderdeel van de rechtszaak is de bewering van IRA Financial dat ondanks Gemini's veelbesproken gelaagde benadering van beveiliging, het een "hoofdsleutel" voor de IRA Financial-rekening heeft gecreëerd. Hij zou later alle IRA-klantaccounts onder die ene sleutel verbergen als subaccounts, waardoor er een enkel toegangspunt ontstond voor hackers om compromissen te sluiten, wat ze ook deden.
“Met name Gemini heeft de IRA nooit geïnformeerd over de kracht van deze hoofdsleutel. In plaats daarvan behandelde Gemini zelf de IRA-hoofdsleutel alsof het alledaagse informatie was, waarbij herhaaldelijk onbeschermde, niet-versleutelde e-mails met de hoofdsleutel met IRA werden uitgewisseld. Het systeem van Gemini had niet alleen een single point of failure, maar bevatte ook een algemene kwetsbaarheid waardoor een inbreuk op een enkel klantaccount zich over alle accounts kon verspreiden”, luidt de klacht.
In een recent mediaartikel ontkende een woordvoerder van Gemini de beschuldigingen en verklaarde hij dat de rechtszaak ongegrond was door te zeggen: “Onze veiligheidsnormen behoren tot de hoogste in de branche en we werken ze voortdurend bij om ervoor te zorgen dat onze klanten altijd worden beschermd. In dit geval hebben we, zodra IRA Financial ons op de hoogte bracht van hun beveiligingsincident, snel actie ondernomen om het verlies van geld van hun rekeningen te beperken”, zoals geciteerd in het mediaverhaal.
De klacht gaat verder dat de hackers erin geslaagd zijn om voor tientallen miljoenen dollars aan respectievelijk Bitcoin en Ethereum te stelen. IRA Financial belooft klanten terug te betalen met de opbrengsten van de Gemini-rechtszaak.
