L'automne dernier, des escrocs ont infiltré des plateformes sociales telles que des applications de rencontres, WhatsApp, Facebook et Twitter, tentant de convaincre les internautes de télécharger Coinbase Wallet. Une fois que les utilisateurs ciblés téléchargent le portefeuille, l'escroc envoie alors des liens vers des sites Web frauduleux, incitant les utilisateurs à acheter un « bon » qui semble être une transaction sécurisée protégée et facilitée par la plateforme de confiance de Coinbase, mais est « en fait un contrat intelligent malveillant ». Des utilisateurs horrifiés ont finalement découvert que le contrat intelligent donnait « aux escrocs un accès complet à l'intégralité des fonds dans les portefeuilles de la victime » sans avoir besoin d'autorisations pour retirer des fonds.Aujourd'hui, près de 100 personnes dans le monde cherchent à faire payer Coinbase, l'une des plus grandes plateformes de trading d'actifs crypto au monde, pour n'avoir prétendument rien fait pour protéger les utilisateurs. Les utilisateurs allèguent que Coinbase n'a pas été ému par les informations selon lesquelles les escrocs vidaient des comptes de dizaines ou de centaines de milliers de dollars de crypto-monnaie. Au total, les utilisateurs de Coinbase Wallet qui poursuivent collectivement l'entreprise ont perdu 21 millions de dollars.
Pendant des mois, les utilisateurs auraient averti l'entreprise de cette apparente faille de sécurité. Au lieu d'agir pour protéger les utilisateurs, cependant, Coinbase « n'a pris aucune mesure pour corriger la faille de sécurité ou même avertir les clients de ce problème majeur, bien qu'ils aient averti les clients d'autres risques de sécurité », selon une demande d'arbitrage récemment déposée. Cela aurait permis à des « centaines » d'utilisateurs supplémentaires de devenir la cible d'une escroquerie de pool d'extraction de liquidités « facilement évitable ».
« Ils n'ont même pas semblé essayer de prendre des mesures », a déclaré Eric Rosen, avocat de Roche Freedman LLP, le cabinet d'avocats représentant les utilisateurs, au Washington Post. « Bien sûr, les escrocs ont rapidement compris cela et ont littéralement demandé aux victimes de télécharger le portefeuille Coinbase ».
Les pools d'extraction de liquidités légitimes promettent des rendements élevés aux utilisateurs qui achètent des bons pour de petites sommes, ce qui les rend attrayants pour les nouveaux utilisateurs de crypto, mais pour les utilisateurs de Coinbase Wallet, « cliquer sur ces bons d'apparence inoffensive enregistrerait une seule ligne de code informatique accordant aux escrocs l'autorisation de voler la crypto déposée sur un compte, des semaines ou des mois plus tard », a rapporté le Post.
Ce cas est différent des autres escroqueries crypto qui incitent les utilisateurs à autoriser des transactions frauduleuses. Les demandeurs allèguent que les conditions d'utilisation de Coinbase n'ont jamais mis en garde contre le risque, assurant aux utilisateurs que seul le partage d'un mot de passe secret pourrait compromettre un compte.
Coinbase est une grande enseigne dans le monde de la crypto, qui vante régulièrement ses fonctionnalités de sécurité, mais la demande d'arbitrage indique que « les escrocs ont dirigé les clients vers le portefeuille Coinbase en raison de sa sécurité désastreuse ». Plutôt que d'agir sur la base de ces informations, Coinbase aurait attendu six mois avant de prendre des mesures pour empêcher davantage d'utilisateurs d'être victime d'une arnaque.
La réponse de Coinbase
Depuis que l'entreprise a été menacé de poursuites judiciaires pour la première fois, Coinbase a changé ses habitudes et fournit désormais des avertissements aux utilisateurs « lorsqu'un site Web demande l'autorisation de retirer une énorme somme d'argent d'un compte », a rapporté le Post. Ce type d'avertissement était déjà d'usage sur les produits concurrents, comme MetaMask et Trust Wallet.
« À notre avis, il s'agit en fait d'un aveu que Coinbase ne faisait pas assez pour protéger ses clients auparavant », a déclaré Jordana Haviv, une autre avocate de Roche Freedman pour les demandeurs. Selon elle, dans les semaines ou peut-être les mois à venir, un arbitre sera sélectionné et Coinbase aura alors la possibilité de répondre aux allégations, puis la découverte pourra le processus sera enclenché.
Les utilisateurs qui poursuivent Coinbase espèrent que l'arbitrage se terminera par la récupération longtemps recherchée des fonds perdus, qui pour certains représentaient l'ensemble de leurs économies. Ils veulent également que Coinbase compile une liste de tous les comptes touchés par l'arnaque.
Coinbase a déclaré que ses produits fonctionnent déjà pour empêcher les arnaques à l'extraction de liquidités.
« Coinbase s'engage à protéger ses clients contre les escroqueries, les fraudes et autres crimes et a investi des ressources importantes dans la protection des utilisateurs contre les arnaques à l'extraction de liquidités », a déclaré la porte-parole de Coinbase, Lisa Johnson. La société semble maintenir qu'elle n'est pas responsable du vol de crypto-monnaie en raison de failles de sécurité dans son produit Wallet (la même réponse qu'elle a donnée aux utilisateurs qui la poursuivent maintenant lorsqu'ils ont signalé l'activité frauduleuse).
« Les activités d'un client sur Coinbase Wallet, y compris la gestion des clés de sécurité privées du portefeuille et l'accès au contenu du portefeuille, sont exclusivement contrôlées par le client, et non par Coinbase », a déclaré Johnson. « C'est pourquoi Coinbase propose à ses clients plusieurs offres de produits, afin qu'ils puissent choisir les produits qui leur conviennent le mieux ».
Plaintes du service client Coinbase
La demande d'arbitrage décrit comment les utilisateurs poursuivant Coinbase se sont plaints qu'au lieu d'enquêter sur le problème, Coinbase leur a envoyé une spirale sans fin de réponses automatisées. N'atteignant jamais un véritable représentant du service client de Coinbase, les utilisateurs n'avaient la possibilité que d'interagir avec des robots présumés qui semblaient programmés pour nier la responsabilité de Coinbase, refuser les remboursements et insister sur le fait que les utilisateurs eux-mêmes avaient clairement compromis leurs propres comptes, allant même parfois jusqu'à « déclarer à tort que les 12 mots des phrases de départ des clients avaient été compromis et que Coinbase ne pouvait rien faire à propos des fonds manquants ». Pour mémoire, Coinbase Wallet génère une phrase de récupération de 12 mots, également appelée phrase de départ, à laquelle vous et vous seul avez accès. Cela signifie que si vous perdez votre phrase de récupération, vous perdrez l'accès à votre portefeuille Coinbase.
Mais les phrases de départ de personne n'ont été compromises, et au fur et à mesure que de nouveaux rapports arrivaient, Coinbase s'en tenait à ses affirmations, insistant sur le fait que la phrase de départ « est le seul moyen d'accéder à la crypto-monnaie » dans un portefeuille Coinbase. Bien que les utilisateurs aient envoyé des URL spécifiques à Coinbase et des noms d'applications décentralisées (également appelées dapps) qui les ont escroqués, « Coinbase n'a même pas bloqué ou supprimé les dapps malveillants », indique la demande d'arbitrage.
Les utilisateurs qui poursuivent l'entreprise disent que la décision de Coinbase d'externaliser son service client alors que sa base d'utilisateurs augmentait rapidement était un risque calculé que la société a pris, disant aux investisseurs dans un dossier de la Securities and Exchange Commission des États-Unis que ses moyens de recherche de profit pourraient avoir un impact sur la sécurité des produits.
À un moment donné au cours de l'année écoulée, un utilisateur a échangé des e-mails avec le service client de Coinbase avant de cliquer sur le bon. Cet utilisateur n'a cliqué que sur le bon, dit-il, après que ce représentant lui a assuré que le seul moyen pour quiconque d'accéder à son portefeuille était avec sa phrase de départ de 12 mots. Convaincu que sa phrase de départ n'a pas été compromise, l'utilisateur a cliqué et est devenu la prochaine victime d'escroquerie, perdant 60 000 $ en crypto-monnaie Tether, malgré ses tentatives de prudence.
Un autre utilisateur poursuivant l'entreprise a reçu un rare message du service client de Coinbase confirmant que sa phrase de départ n'avait pas été compromise. Le message informait l'utilisateur que « l'activité non autorisée que vous avez signalée semble résulter d'une transaction signée qui a autorisé un tiers malveillant à transférer des fonds depuis votre portefeuille ». Même si Coinbase reconnaît que c'était « non autorisé », le représentant a soutenu que Coinbase n'était pas responsable. « Il est de la responsabilité du client d'examiner les détails de la dapp avec laquelle il interagit et de comprendre le risque lorsqu'il interagit avec elle », a déclaré Coinbase à l'utilisateur, l'informant qu'il aurait dû révoquer l'accès accordé après avoir cliqué sur le bon pour empêcher le retrait.
« Maintenant que j'ai perdu les fonds, il est trop tard pour m'informer que je devais révoquer cet accès caché sous une transaction d'apparence tout à fait normale », a répondu l'utilisateur, dans ce qui est devenu sa dernière correspondance avec Coinbase à ce sujet.
Ce n'est qu'après que Roche Freedman a envoyé à Coinbase un brouillon de sa plainte que Coinbase a « immédiatement » publié des avertissements sur « de nombreux dapps frauduleux qui volaient l'argent de ses clients ».
« Si le portefeuille avait simplement informé les utilisateurs de ce que le dapp demandait réellement de faire, au lieu de le cacher aux utilisateurs, rien de tout cela ne se serait probablement produit », indique la demande d'arbitrage.
Délit d'initié d'un dirigeant de Coinbase
En juillet, nous avons présenté cette situation où un ancien gestionnaire de Coinbase, son frère et un ami ont été inculpés de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.