L’automne dernier, des escrocs ont infiltré des plateformes sociales telles que des applications de rencontres, WhatsApp, Facebook et Twitter, tentant de convaincre les gens de télécharger Coinbase Wallet. Une fois que les utilisateurs ciblés avaient téléchargé le portefeuille, l’escroc envoyait alors des liens vers des sites Web frauduleux, incitant les utilisateurs à acheter un « bon » qui semblait être une transaction sécurisée, protégée et facilitée par la plate-forme de confiance de Coinbase, mais qui était « en fait un contrat intelligent malveillant ». Des utilisateurs horrifiés ont finalement découvert que le contrat intelligent donnait « aux escrocs un accès complet à l’intégralité des fonds dans les portefeuilles de la victime » sans nécessiter d’autorisations pour retirer des fonds.
Aujourd’hui, près de 100 personnes du monde entier cherchent à faire payer Coinbase, cotée en bourse, pour n’avoir prétendument rien fait pour protéger les utilisateurs. Les utilisateurs affirment que Coinbase n’a pas été ému par les informations selon lesquelles les escrocs vidaient des comptes de dizaines ou de centaines de milliers de dollars de crypto-monnaie. Au total, les utilisateurs de Coinbase Wallet qui poursuivent collectivement ont perdu 21 millions de dollars.
Pendant des mois, les utilisateurs auraient averti l’entreprise de cette apparente faille de sécurité. Au lieu d’agir pour protéger les utilisateurs, cependant, Coinbase « n’a pris aucune mesure corrective pour corriger la faille de sécurité ou même avertir les clients de ce problème majeur, bien qu’ils aient averti les clients d’autres risques de sécurité », selon une demande d’arbitrage récemment déposée. Cela aurait permis à des « centaines » d’utilisateurs supplémentaires de devenir la cible d’une escroquerie de pool d’extraction de liquidités « facilement évitable ».
« Ils n’ont même pas semblé essayer », a déclaré Eric Rosen, un avocat de Roche Freedman LLP, le cabinet d’avocats représentant les utilisateurs, au Washington Post. « Bien sûr, les escrocs ont rapidement compris cela et ont littéralement demandé aux victimes de télécharger le portefeuille Coinbase. »
Les pools d’extraction de liquidités légitimes promettent des rendements élevés aux utilisateurs qui achètent des bons pour de petites sommes, ce qui les rend attrayants pour les nouveaux utilisateurs de crypto, mais pour les utilisateurs de Coinbase Wallet, « cliquer sur ces bons d’apparence inoffensive enregistrerait une seule ligne de code informatique accordant aux escrocs l’autorisation de voler la crypto déposée sur un compte, des semaines ou des mois plus tard », a rapporté le Post.
Ce cas est différent des autres escroqueries cryptographiques qui incitent les utilisateurs à autoriser des transactions frauduleuses. Les demandeurs allèguent que les conditions d’utilisation de Coinbase n’ont jamais mis en garde contre le risque, assurant aux utilisateurs que seul le partage d’un mot de passe secret pourrait compromettre un compte.
Coinbase est un titan du monde de la cryptographie qui vante régulièrement ses fonctionnalités de sécurité, mais la demande d’arbitrage indique que « les escrocs ont dirigé les clients vers le portefeuille Coinbase en raison de sa terrible sécurité ». Plutôt que d’agir sur la base de ces informations, Coinbase aurait passé six mois avant de prendre des mesures pour empêcher davantage d’utilisateurs d’être victime d’une arnaque.
La réponse de Coinbase
Depuis qu’il a été menacé de poursuites judiciaires pour la première fois, Coinbase a changé ses habitudes et fournit désormais des avertissements aux utilisateurs lorsqu' »un site Web demande l’autorisation de retirer une énorme somme d’argent d’un compte », a rapporté le Post. Ce type d’avertissement était déjà d’usage sur les produits concurrents, comme MetaMask et Trust Wallet.
« À notre avis, il s’agit en fait d’un aveu que Coinbase ne faisait pas assez pour protéger ses clients auparavant », a déclaré à Ars Jordana Haviv, une autre avocate de Roche Freedman pour les demandeurs.
Dans les semaines ou peut-être les mois à venir, Haviv a déclaré à Ars qu’un arbitre serait sélectionné, Coinbase aurait la possibilité de répondre aux allégations, puis la découverte commencerait.
Les utilisateurs qui poursuivent Coinbase espèrent que l’arbitrage se terminera par la récupération longtemps recherchée des fonds perdus, qui pour certains représentaient l’ensemble de leurs économies. Ils veulent également que Coinbase compile une liste de tous les comptes touchés par l’arnaque.
Coinbase a déclaré à Ars que ses produits fonctionnent déjà pour empêcher les arnaques à l’extraction de liquidités.
« Coinbase s’engage à protéger ses clients contre les escroqueries, les fraudes et autres crimes et a investi des ressources importantes dans la protection des utilisateurs contre les arnaques à l’extraction de liquidités », a déclaré la porte-parole de Coinbase, Lisa Johnson, dans un communiqué transmis à Ars.
La société semble maintenir qu’elle n’est pas responsable du vol de crypto-monnaie en raison de failles de sécurité dans son produit Wallet – la même réponse qu’elle a donnée aux utilisateurs qui poursuivent maintenant lorsqu’ils ont signalé l’activité frauduleuse.
« Les activités d’un client sur Coinbase Wallet, y compris la gestion des clés de sécurité privées du portefeuille et l’accès au contenu du portefeuille, sont exclusivement contrôlées par le client, et non par Coinbase », a déclaré Johnson. « C’est pourquoi Coinbase propose à ses clients plusieurs offres de produits, afin qu’ils puissent choisir les produits qui leur conviennent le mieux. »