Piratage de WazirX : de nouvelles allégations relancent le débat sur une possible cyberattaque

Le 18 juillet 2024, WazirX, la plus grande bourse de crypto-monnaies d'Inde, a subi une violation importante avec 235 millions de dollars (2 000 crores ₹) siphonnés d'un seul portefeuille.

Initialement imputé au groupe nord-coréen Lazarus, le piratage a suscité l'inquiétude dans tout le secteur indien de la cryptographie.

Les allégations des utilisateurs et les divergences dans la gestion financière de WazirX ont conduit les utilisateurs de X à spéculer que l'incident pourrait avoir été un travail interne.

Alors que les soupçons s’accroissent et que des preuves apparaissent, des questions persistent quant à savoir s’il s’agit d’une cyberattaque ou d’un stratagème calculé dans un contexte de turbulences financières.

Les contraintes financières et les obstacles réglementaires ouvrent la voie à une catastrophe

Les problèmes de WazirX ont commencé bien avant le piratage de juillet. En février 2022, la taxe indienne de 30 % sur les crypto-monnaies a provoqué une chute de l'activité des utilisateurs et des profits.

Deux mois plus tard, les fondateurs Nischal Shetty et Siddharth Menon se sont installés à Dubaï, ce qui a suscité des inquiétudes quant à l'avenir de la bourse dans un contexte de surveillance croissante.

En août 2022, des allégations de blanchiment d'argent ont conduit la Direction de l'application de la loi indienne à geler 8 millions de dollars d'actifs de WazirX.

Cela a marqué le début d’une importante tension opérationnelle. Début 2023, Binance, son ancien partenaire, a rompu ses liens, créant des lacunes de gouvernance et coupant un soutien vital.

En janvier 2024, l'interdiction de Binance en Inde a forcé les utilisateurs à consolider leurs fonds dans WazirX, gonflant ainsi les réserves.

Cela a conduit à une centralisation risquée de 235 millions de dollars dans un seul portefeuille, ce qui en fait une cible facile – ou une responsabilité intentionnelle, comme le suggèrent les critiques.

Un piratage informatique révèle une négligence opérationnelle ou un acte criminel intentionnel ?

Le piratage de juillet 2024 a anéanti les 235 millions de dollars concentrés dans le portefeuille central de WazirX.

Les critiques se sont interrogés sur la logique qui sous-tendait le regroupement d’une telle quantité de déchets en un seul endroit. S’agissait-il d’une mauvaise gestion des risques ou d’une action délibérée déguisée en négligence ?

Un examen plus approfondi a révélé des chiffres incohérents concernant les fonds volés.

La réclamation initiale de WazirX de 570 millions de dollars de réserves, avec 234 millions de dollars volés, a été ensuite révisée à 546 millions de dollars et 45 % de pertes.

Ces divergences ont mis en évidence la faiblesse des contrôles internes et accru les soupçons d’actes criminels.

Les allégations de mauvaise gestion financière s'intensifient

Des audits financiers ont révélé des pratiques inquiétantes chez WazirX. En 2022, la bourse a dépensé 79 millions de dollars, soit près de 80 % de ses revenus, en marketing, sans aucune ventilation détaillée.

15 millions de dollars supplémentaires en frais administratifs et 23 millions de dollars en passifs vagues classés dans la catégorie « Autres » ont soulevé des signaux d’alarme.

Le mécontentement s’est accru lorsque WazirX a proposé un moratoire à Singapour, restructurant les obligations après le piratage.

Avec seulement 0,01 % des utilisateurs soutenant ce plan, les inquiétudes concernant la transparence et la confiance des utilisateurs se sont renforcées.

Pour ajouter au drame, CoinSwitch, une plateforme rivale, a poursuivi WazirX en septembre 2024 pour récupérer des fonds prétendument bloqués après le piratage, invoquant une sécurité inadéquate du portefeuille.

Ces batailles juridiques dressent le portrait d’une plateforme embourbée dans un chaos opérationnel.

Les utilisateurs subissent des pertes alors que WazirX lance un plan de remboursement

Sous pression pour restaurer la confiance, WazirX a dévoilé un plan de remboursement.

Un « calculateur de rééquilibrage » permet désormais aux utilisateurs de réclamer des fonds, mais avec une perte de 48 %. Les jetons de récupération, représentant 1 $ chacun, serviront de substituts aux soldes impayés, le remboursement étant lié aux revenus futurs.

WazirX prévoit de redémarrer ses opérations, notamment en lançant un échange décentralisé et en réorganisant sa plateforme centralisée pour générer des revenus.

Les sceptiques se demandent toutefois si ces mesures suffiront à regagner la confiance des utilisateurs.

Les enquêtes révèlent une potentielle implication interne

La Haute Cour de Delhi et la police locale ont commencé à enquêter sur les allégations de faute professionnelle interne.

Les allégations incluent la fusion de fonds provenant de comptes piratés et non affectés, la violation des accords d'utilisation et le transfert d'actifs volés à Singapour.

Pour donner plus de poids à ces allégations, l’arrestation d’un suspect lié à la violation a introduit un nouvel angle.

Les enquêteurs affirment que le suspect a vendu de faux comptes utilisés pour infiltrer les systèmes de WazirX.

Malgré cela, des questions subsistent quant à savoir s’il s’agissait simplement d’un cybercrime ou d’une opération interne orchestrée.

Un système défaillant laisse les utilisateurs dans le désespoir

Pour de nombreux utilisateurs de WazirX, les conséquences du piratage ont été dévastatrices.

Les histoires de ruine financière abondent alors que les victimes sont aux prises avec des dettes, des économies perdues et une incertitude quant à leur rétablissement.

Dans le même temps, la réponse réglementaire de l’Inde a été critiquée pour sa lenteur, laissant les utilisateurs dépendants du système juridique de Singapour pour obtenir réparation.

Avec des millions en jeu et aucune résolution claire en vue, le piratage de WazirX sert d'avertissement pour l'industrie de la cryptographie.

Il reste à déterminer s’il s’agissait d’un coup monté de l’intérieur ou d’une cyberattaque sophistiquée, mais les conséquences sur la confiance des utilisateurs et la responsabilité de la plateforme sont déjà claires.