FTX a déposé un nouveau rapport dans le cadre de sa faillite en cours qui explique comment les défaillances des contrôles internes ont contribué à l'effondrement de l'entreprise.L'affaire FTX, de quoi parle-t-elle ?
FTX est une bourse de cryptomonnaie basée aux Bahamas. L'entreprise a été fondée par Sam Bankman-Fried en 2019 et permet aux utilisateurs d'acheter, de vendre, de détenir et d'échanger des cryptomonnaies (bien que ces fonctions ne soient pas disponibles pour le moment en raison de l'effondrement de l'entreprise).
À son apogée, FTX a dépensé son argent dans un certain nombre d'accords de parrainage. Alors que le stade du Miami Heat est devenu la FTX Arena, la société a également conclu un accord avec l'équipe de Formule 1 Mercedes-Benz et a parrainé l'organisation professionnelle d'esports Team SoloMid (TSM), qui s'appelait TSM FTX pendant un certain temps. Toutes ces offres sont caduques maintenant, bien entendu.
Les célébrités faisant la promotion de FTX comprenaient Tom Brady et sa femme, Gisele Bündchen, qui ont signé en tant que conseillers en initiatives environnementales et sociales, en plus d'autres stars comme l'athlète de la NBA Stephen Curry, la star du tennis Naomi Osaka et bien d'autres.
FTX a même payé pour faire de la publicité durant le Super Bowl, publicité dans laquelle Larry David jouait le rôle d'un perdant qui a manqué des développements tels que la roue, l'électricité et, bien sûr, la cryptomonnaie (la publicité est disponible ci-dessous). Certains des sponsors célèbres de FTX ont été nommés dans un recours collectif contre la société.
Au cœur de la fraude de Bankman-Fried se trouvent les liens profonds et (littéralement) intimes entre FTX, la bourse qui a attiré les spéculateurs, et Alameda Research, un fonds spéculatif que Bankman-Fried a cofondé. Alors qu'une bourse gagne finalement de l'argent grâce aux frais de transaction sur les actifs appartenant aux utilisateurs, un fonds spéculatif comme Alameda cherche à tirer profit de la négociation ou de l'investissement actif des fonds qu'il contrôle.
Bankman-Fried lui-même a décrit FTX et Alameda comme étant des entités « entièrement séparées ». Pour renforcer cette impression, Bankman-Fried a démissionné de son poste de PDG d'Alameda en 2019. Mais il est apparu que les activités des deux entités restaient profondément liées. Non seulement les dirigeants d'Alameda et de FTX travaillaient souvent dans le même penthouse des Bahamas, mais la PDG de Bankman-Fried et d'Alameda, Caroline Ellison, étaient liées de manière romantique.
Ces circonstances ont probablement permis le péché capital de Bankman-Fried. Quelques jours après les premiers signes de faiblesse de FTX, il est devenu clair que la bourse avait acheminé les actifs des clients vers Alameda pour les utiliser dans les activités de négociation, de prêt et d'investissement. Le 12 novembre, un rapport a été publié selon lequel jusqu'à 10 milliards de dollars de fonds d'utilisateurs avaient été envoyés de FTX à Alameda. À l'époque, on pensait que seulement 2 milliards de dollars de ces fonds avaient disparu après avoir été envoyés à Alameda; les pertes semblent avoir été beaucoup plus élevées.
On ne sait toujours pas exactement pourquoi ces fonds ont été envoyés à Alameda, ou quand Bankman-Fried a franchi pour la première fois le Rubicon, trahissant ainsi la confiance de ses déposants. Une analyse a révélé que l'essentiel des mouvements de FTX vers Alameda ont eu lieu fin 2021, et les dépôts de bilan ont révélé que FTX et Alameda ont perdu 3,7 milliards de dollars en 2021.
C'est peut-être la partie la plus déroutante de l'histoire de Bankman-Fried : ses entreprises ont perdu d'énormes sommes d'argent avant même le début du marché baissier de la crypto en 2022. Ils ont peut-être volé des fonds bien avant les explosions de Terra et Three Arrows Capital qui ont mortellement blessé tant d'autres acteurs de la crypto par un effet de levier.
Un rapport accablant concernant les contrôles internes
Le rapport décrit comment FTX était dirigé par Sam Bankman-Fried (SBF), les autres dirigeants s'en remettant presque automatiquement à lui. Le rapport met également en évidence le soi-disant « risque de personne clé » qui n'était pas géré, un dirigeant déclarant: « Si Nishad (Singh, directeur de l'ingénierie de l'entreprise) venait à être heurté par un bus, toute l'entreprise serait foutue. C'est le même problème avec Gary ».
FTX manquait également d'une équipe d'audit interne, et bon nombre de ses entités travaillaient sans le personnel clé des finances et des risques, y compris les directeurs financiers, les directeurs des risques ou un contrôleur mondial. Cependant, avant l'inscription potentielle de FTX au NASDAQ, la société devait démontrer qu'elle avait mis en place des contrôles internes. En conséquence, les employés ont été chargés d'adapter les versions fournies par les comptables de FTX à leurs propres procédures en moins d'une journée.
Selon le rapport, aucun employé n'a jamais été formé pour utiliser ces procédures.
Les portefeuilles FTX n'étaient pas multi-signatures
De plus, FTX n'avait pas de personnel dédié à la cybersécurité et stockait les clés privées de ses actifs cryptographiques « à chaud » dans Amazon Web Services (AWS). Cela allait à l'encontre de l'insistance de SBF et FTX qui assurait que la société exploite des portefeuilles chauds et froids séparés.
Fait alarmant, ces portefeuilles n'étaient pas des portefeuilles multi-signatures, et de nombreuses clés privées et détails de compte confidentiels étaient stockés en texte brut sans chiffrement. De plus, beaucoup n'avaient pas de procédure de sauvegarde, ce qui signifie qu'ils pouvaient facilement être perdus.Does FTX use cold wallets? What proportion of user funds are in cold wallets? There is no mention of it on the website.
— Younes (@ynschj) September 12, 2019
Les clés Alameda étaient parfois simplement étiquetées « utiliser ceci » ou « ne pas utiliser ». Les mots de passe des nœuds gérant bon nombre de ces portefeuilles étaient stockés en texte brut et enregistrés dans le référentiel de code, tout en étant fréquemment réutilisés entre les nœuds.
FTX n'a pas réussi à maintenir les privilèges et les séparations appropriés entre ses systèmes. De nombreux utilisateurs avaient accès aux différents portefeuilles, au lieu d'être limités au plus petit nombre d'utilisateurs possible et la société n'a même pas appliqué une authentification à deux facteurs pour son système de gestion des mots de passe.
L'infrastructure était également partagée entre FTX, FTX US et Alameda, empêchant ces entités d'être séparées de manière appropriée. Les entreprises manquaient également d'alertes pour signaler l'utilisation de l'un de leurs portefeuilles ou de leurs informations d'identification AWS racine.
Le processus de déploiement de logiciels de FTX a également négligé de mettre en œuvre des protections pour garantir que le logiciel déployé était sûr à utiliser, ne vérifiant pas les logiciels tiers et n'utilisant que des procédures minimales de révision et de test du code.
Le système comptable de la bourse FTX est également décrit comme inadéquat pour l'ampleur de ses opérations. Il s'est appuyé sur Quickbooks, Google Documents, Slack et des feuilles de calcul de base pour suivre sa situation financière, 56 entités ne produisant aucun état financier. D'autres rapports n'ont pas été produits régulièrement ou en temps opportun et l'examen des documents n'a pas eu lieu. Les documents clés, y compris la documentation des prêts entre parties liées, n'étaient pas exacts ou présents.
Le rapport décrit en outre comment des milliers de « chèques de dépôt » n'étaient pas déposés régulièrement et s'accumulaient comme du « courrier indésirable ».
Selon le rapport, Alameda ignorait souvent ses propres positions et il n'était pas possible de déterminer combien de positions étaient marquées. Un « résumé de portefeuille » aurait contenu l'instruction pour les employés d'Alameda de « proposer des chiffres? je ne sais pas ». SBF a décrit Alameda comme étant « au-delà de tout seuil permettant à tout auditeur de réussir même partiellement un audit ».
Il a ajouté que « nous ne pouvons qu'estimer ses soldes » et « trouver parfois 50 millions de dollars d'actifs qui traînent dont nous avons perdu la trace ; c'est la vie ».
Alameda a reçu une capacité illimitée de négocier
Le rapport explique comment le groupe FTX avait plus de 1 000 comptes sur des échanges crypto à travers le monde, mais ne conservait aucun enregistrement centralisé de l'endroit où ils se trouvaient ni du nombre d'actifs qu'ils détenaient. Fait intéressant, de nombreux comptes ont été créés avec des adresses e-mail, des noms et des sociétés-écrans qui semblaient n'avoir aucun lien avec FTX.
Bon nombre des difficultés comptables étaient aggravées par le fait que les actifs et les passifs semblaient se déplacer de manière fluide dans l'entreprise sans respecter les limites formelles de l'entreprise ni s'assurer qu'il y avait une documentation adéquate.
Le rapport réitère également les nombreux privilèges spéciaux accordés à Alameda pour le trading sur FTX. Il s'agissait notamment d'avoir une capacité effectivement illimitée d'échanger et de retirer des actifs, y compris des actifs de clients de FTX. Elle a également été exemptée d'auto-liquidation. D'autres teneurs de marché se voyaient parfois accorder des lignes de crédit pouvant atteindre 150 millions de dollars si leur solde tombait en dessous de zéro, mais aucun n'était autorisé à se retirer dans cet État et Alameda disposait à elle seule d'une ligne de crédit de 65 milliards de dollars.
Le rapport raconte également l'histoire de la démission de Brett Harrison de FTX US, soulignant comment, après avoir soulevé des inquiétudes concernant la structure et les contrôles de FTX US, sa prime a été réduite et on lui a dit de s'excuser.27/49 It felt terrible. I sought out information about decisions that had been made behind my back, desperate but trying hard not to show it.
— Brett Harrison (@BrettHarrison88) January 14, 2023
Le rapport affirme que les débiteurs en possession ont jusqu'à présent été en mesure d'identifier plus d'un milliard de dollars d'actifs crypto qui étaient en grande partie non documentés dans les dossiers. Le processus d'identification de ceux-ci comprenait le développement d'un logiciel pour identifier les clés qui étaient stockées dans l'environnement informatique. Des millions de clés documentées ont finalement été identifiées.
FTX n'a apparemment pas non plus établi de contrôles et de procédures appropriés tout en permettant à Alameda de vider efficacement l'échange.
Source : rapport
Et vous ?
Quelle lecture faites-vous de ce rapport ? Êtes-vous surpris de voir autant de négligence ? D'ailleurs, devrait-on parler de négligence ou de fraude ? Pourquoi ? 
