FTX a stocké les clés privées des actifs crypto en clair, sans contrôle d'accès.

La société n'avait même pas de personnel dédié à la cybersécurité, selon des dossiers judiciaires

FTX a déposé un nouveau rapport dans le cadre de sa faillite en cours qui explique comment les défaillances des contrôles internes ont contribué à l'effondrement de l'entreprise.

L'affaire FTX, de quoi parle-t-elle ?

FTX est une bourse de cryptomonnaie basée aux Bahamas. L'entreprise a été fondée par Sam Bankman-Fried en 2019 et permet aux utilisateurs d'acheter, de vendre, de détenir et d'échanger des cryptomonnaies (bien que ces fonctions ne soient pas disponibles pour le moment en raison de l'effondrement de l'entreprise).

À son apogée, FTX a dépensé son argent dans un certain nombre d'accords de parrainage. Alors que le stade du Miami Heat est devenu la FTX Arena, la société a également conclu un accord avec l'équipe de Formule 1 Mercedes-Benz et a parrainé l'organisation professionnelle d'esports Team SoloMid (TSM), qui s'appelait TSM FTX pendant un certain temps. Toutes ces offres sont caduques maintenant, bien entendu.

Les célébrités faisant la promotion de FTX comprenaient Tom Brady et sa femme, Gisele Bündchen, qui ont signé en tant que conseillers en initiatives environnementales et sociales, en plus d'autres stars comme l'athlète de la NBA Stephen Curry, la star du tennis Naomi Osaka et bien d'autres.

FTX a même payé pour faire de la publicité durant le Super Bowl, publicité dans laquelle Larry David jouait le rôle d'un perdant qui a manqué des développements tels que la roue, l'électricité et, bien sûr, la cryptomonnaie (la publicité est disponible ci-dessous). Certains des sponsors célèbres de FTX ont été nommés dans un recours collectif contre la société.

Au cœur de la fraude de Bankman-Fried se trouvent les liens profonds et (littéralement) intimes entre FTX, la bourse qui a attiré les spéculateurs, et Alameda Research, un fonds spéculatif que Bankman-Fried a cofondé. Alors qu'une bourse gagne finalement de l'argent grâce aux frais de transaction sur les actifs appartenant aux utilisateurs, un fonds spéculatif comme Alameda cherche à tirer profit de la négociation ou de l'investissement actif des fonds qu'il contrôle.

Bankman-Fried lui-même a décrit FTX et Alameda comme étant des entités « entièrement séparées ». Pour renforcer cette impression, Bankman-Fried a démissionné de son poste de PDG d'Alameda en 2019. Mais il est apparu que les activités des deux entités restaient profondément liées. Non seulement les dirigeants d'Alameda et de FTX travaillaient souvent dans le même penthouse des Bahamas, mais la PDG de Bankman-Fried et d'Alameda, Caroline Ellison, étaient liées de manière romantique.

Ces circonstances ont probablement permis le péché capital de Bankman-Fried. Quelques jours après les premiers signes de faiblesse de FTX, il est devenu clair que la bourse avait acheminé les actifs des clients vers Alameda pour les utiliser dans les activités de négociation, de prêt et d'investissement. Le 12 novembre, un rapport a été publié selon lequel jusqu'à 10 milliards de dollars de fonds d'utilisateurs avaient été envoyés de FTX à Alameda. À l'époque, on pensait que seulement 2 milliards de dollars de ces fonds avaient disparu après avoir été envoyés à Alameda; les pertes semblent avoir été beaucoup plus élevées.

On ne sait toujours pas exactement pourquoi ces fonds ont été envoyés à Alameda, ou quand Bankman-Fried a franchi pour la première fois le Rubicon, trahissant ainsi la confiance de ses déposants. Une analyse a révélé que l'essentiel des mouvements de FTX vers Alameda ont eu lieu fin 2021, et les dépôts de bilan ont révélé que FTX et Alameda ont perdu 3,7 milliards de dollars en 2021.

C'est peut-être la partie la plus déroutante de l'histoire de Bankman-Fried : ses entreprises ont perdu d'énormes sommes d'argent avant même le début du marché baissier de la crypto en 2022. Ils ont peut-être volé des fonds bien avant les explosions de Terra et Three Arrows Capital qui ont mortellement blessé tant d'autres acteurs de la crypto par un effet de levier.

Un rapport accablant concernant les contrôles internes

Le rapport décrit comment FTX était dirigé par Sam Bankman-Fried (SBF), les autres dirigeants s'en remettant presque automatiquement à lui. Le rapport met également en évidence le soi-disant « risque de personne clé » qui n'était pas géré, un dirigeant déclarant: « Si Nishad (Singh, directeur de l'ingénierie de l'entreprise) venait à être heurté par un bus, toute l'entreprise serait foutue. C'est le même problème avec Gary ».

FTX manquait également d'une équipe d'audit interne, et bon nombre de ses entités travaillaient sans le personnel clé des finances et des risques, y compris les directeurs financiers, les directeurs des risques ou un contrôleur mondial. Cependant, avant l'inscription potentielle de FTX au NASDAQ, la société devait démontrer qu'elle avait mis en place des contrôles internes. En conséquence, les employés ont été chargés d'adapter les versions fournies par les comptables de FTX à leurs propres procédures en moins d'une journée.

Selon le rapport, aucun employé n'a jamais été formé pour utiliser ces procédures.


Les portefeuilles FTX n'étaient pas multi-signatures

De plus, FTX n'avait pas de personnel dédié à la cybersécurité et stockait les clés privées de ses actifs cryptographiques « à chaud » dans Amazon Web Services (AWS). Cela allait à l'encontre de l'insistance de SBF et FTX qui assurait que la société exploite des portefeuilles chauds et froids séparés.

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Does FTX use cold wallets? What proportion of user funds are in cold wallets? There is no mention of it on the website.</p>— Younes (@ynschj) <a href="https://twitter.com/ynschj/status/1172091557631184897?ref_src=twsrc%5Etfw">September 12, 2019</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

Fait alarmant, ces portefeuilles n'étaient pas des portefeuilles multi-signatures, et de nombreuses clés privées et détails de compte confidentiels étaient stockés en texte brut sans chiffrement. De plus, beaucoup n'avaient pas de procédure de sauvegarde, ce qui signifie qu'ils pouvaient facilement être perdus.

Les clés Alameda étaient parfois simplement étiquetées « utiliser ceci » ou « ne pas utiliser ». Les mots de passe des nœuds gérant bon nombre de ces portefeuilles étaient stockés en texte brut et enregistrés dans le référentiel de code, tout en étant fréquemment réutilisés entre les nœuds.

FTX n'a pas réussi à maintenir les privilèges et les séparations appropriés entre ses systèmes. De nombreux utilisateurs avaient accès aux différents portefeuilles, au lieu d'être limités au plus petit nombre d'utilisateurs possible et la société n'a même pas appliqué une authentification à deux facteurs pour son système de gestion des mots de passe.

L'infrastructure était également partagée entre FTX, FTX US et Alameda, empêchant ces entités d'être séparées de manière appropriée. Les entreprises manquaient également d'alertes pour signaler l'utilisation de l'un de leurs portefeuilles ou de leurs informations d'identification AWS racine.

Le processus de déploiement de logiciels de FTX a également négligé de mettre en œuvre des protections pour garantir que le logiciel déployé était sûr à utiliser, ne vérifiant pas les logiciels tiers et n'utilisant que des procédures minimales de révision et de test du code.

Le système comptable de la bourse FTX est également décrit comme inadéquat pour l'ampleur de ses opérations. Il s'est appuyé sur Quickbooks, Google Documents, Slack et des feuilles de calcul de base pour suivre sa situation financière, 56 entités ne produisant aucun état financier. D'autres rapports n'ont pas été produits régulièrement ou en temps opportun et l'examen des documents n'a pas eu lieu. Les documents clés, y compris la documentation des prêts entre parties liées, n'étaient pas exacts ou présents.

Le rapport décrit en outre comment des milliers de « chèques de dépôt » n'étaient pas déposés régulièrement et s'accumulaient comme du « courrier indésirable ».

Selon le...