La scorsa settimana Fortress Trust aveva comunicato su Twitter che un suo fornitore di terze parti era stato colpito da una crypto frode, rassicurando, però, i suoi investitori visto che, a sua detta, i sistemi di sicurezza interni della società non sono stati violati.
Si è scoperto solo dopo che il provider in questione era l’azienda di sviluppo software Retool, e che in realtà Fortress aveva perso 15 milioni di dollari a causa dell’attacco.
Ripple ha annunciato tempestivamente di aver sanato le perdite della startup di infrastrutture blockchain come parte di un accordo che prevede l’acquisizione della stessa Fortress Trust.
Su Twitter si è scatenato il putiferio con vari personaggi coinvolti nella faccenda che non hanno esitato per scagliarsi l’uno contro l’altro.
La questione ha aperto anche un dibattito sull’importanza dei sistemi blockchain trustless in cui non ci sono rischi di controparte, che spesso rappresenta la causa principale di mole perdite di fondi in crypto.
Vediamo insieme tutti i dettagli.
Summary
Diversi account di Fortress Trust compromessi per 15 milioni di dollari: il provider Retool caduto in una frode di phishing con clienti Fortune 500
Fortress Trust, startup di infrastrutture finanziarie web3, ha annunciato giovedì 7 settembre su Twitter che 4 dei suoi clienti sono caduti vittima di una crypto frode dopo che gli strumenti cloud di un suo fornitore di terze parti sono stati compromessi.
La società non ha rivelato inizialmente il nome del provider, rassicurando allo stesso tempo i suoi stakeholders visto che non ci sarebbero state violazioni dei sistemi interni di Fortress Technology e che gli utenti non avevano perso i propri fondi.
Il giorno seguente arriva però la sconvolgente notizia dell’acquisto di Fortress Trust da parte di Ripple come parte di un accordo bilaterale.
Si è scoperto poi che per la startup c’erano state perdite di fondi che ammontavano a 15 milioni di dollari e che l’intervento di Ripple è servito per risanare i debiti della società nei confronti dei propri clienti.
È venuto a galla anche il nome del famigerato fornitore di terze parti che ha causato l’incidente, ovvero la nota società di sviluppo software Retool che gode (o forse godeva) di un’ottima reputazione visto che ha come clienti imprese Fortune500.
Quest’ultimo è stato colpito da un attacco di phishing che ha portato alla compromissione di alcuni account interni a Fortress Trust con la perdita di 15 milioni di dollari in crypto.
La maggior parte del denaro crittografico rubato era in BTC, con una piccola porzione in stablecoin come USDC e USDT.
L’incidente è accaduto con esattezza il 29 di agosto, quando 27 clienti di Retool hanno notificato alla società che “c’era stato un accesso non autorizzato ai loro account” in seguito ad un attacco di phishing.
Dopo ben 9 giorni Fortress Trust, direttamente coinvolta nella faccenda visto che gli account violati rientravano all’interno del loro fondo, non ha raccontato l’intera storia alla propria community sperando che la pezza di Ripple potesse evitare lo scalpore mediatico di una frode.
La poco trasparenza dei dirigenti della startup non è piaciuta però a Mike Belshe, CEO di BitGo, altro provider di Fortress che non ha subito ripercussioni dalla violazione informatica, che ha criticato fortemente il modo in cui è stata gestita la situazione di crisi.
Kevin Lehtiniitty, co-fondatore di Fortress nonchè Chief Technology Officer e Chief Product Officer, ha risposto a queste critiche affermando che anche Belshe era a conoscenza dell’accaduto e che ora sta cercando di innescare paura ai propri clienti attraverso descrizioni fuorvianti
La controrisposta del CEO di BitGo è stata tempestiva, che in maniera iconica ha detto testualmente al suo collega:
“Ehi, se pensi che essere hackerato e dover vendere l’azienda non sia qualcosa che i tuoi clienti avrebbero dovuto sapere, non sono sicuro di cosa dire”
Fortress acquisita da Ripple dopo il crypto hack
Con l’acquisizione di Fortress Trust da parte di Ripple si è venuto a sapere che la crypto frode aveva causato una perdita di fondi alla startup scatenando un ampio dibattito da parte dei soggetti interessati alla vicenda.
Per placare il tumulto, il CEO di Fortress Scott Purcell ha affermato testualmente che:
“Non siamo stati violati, Fireblocks non è stato violato e BitGo non è stato violato. Fortunatamente (e sorprendentemente, onestamente) entro 48 ore abbiamo ricevuto un’e-mail dalla società di strumenti che ammetteva la violazione da parte sua e siamo in procinto di ritenerli responsabili”
Ad ogni modo, nonostante la colpa dell’incidente non sia di Fortress, rimane comunque il fatto che dopo un’hack di questo tipo, la società non ha comunicato tutto ciò che sapeva ai suoi clienti, lasciandoli allo oscuro della perdita di denaro in crypto.
Un portavoce di Ripple, ha detto che le ipotesi di un acquisto della startup erano già state pensate da alcune settimane e che le due parti stavano collaborando per trovare un accordo.
Il furto informatico a danno dei clienti di Fortress è stata solo la ciliegina sulla torta che ha “accellerato” tale processo.
Di fatto sembra che Fortress gestisca un valore totale di investimenti nettamente superiore a quello rubato con l’attacco di phishing e che la reale motivazione dell’acquisto di Ripple non sia unicamente legata alla risanazione i debiti aziendali.
Lo stesso portavoce della storica società di pagamenti in crypto ha continuato affermando che:
“Fortunatamente, Ripple è stata in grado di agire rapidamente per intervenire e soddisfare i clienti, e non si sono verificate violazioni della tecnologia o dei sistemi Fortress. Fortress ha immediatamente informato i clienti dell’incidente non appena si è verificato, come menzionato nei loro tweet”
Ripple ha finanziato l’acquisizione con un mix di contanti e capitale proprio. L’accordo, ancora in seno a controlli normativi ed attività di due diligence, amplierebbe la raccolta di licenze normative di Ripple, poiché Fortress Trust, una filiale di Fortress Blockchain Technologies, detiene una licenza Nevada Trust.
Ripple intende rafforzare i servizi FotressPay, che tra poco inizieranno a sfruttare le tecnologie di pagamento dell’azienda crittografica.
Lo shopping della società di Brad Garlinghouse continua all’impazzata dopo che a maggio sono stati spesi 250 milioni per acquistare una startup svizzera di custodia Metaco, oltre che ad una partecipazione all’interno dell’exchange Bitstamp.
Il rischio di controparte nel settore dei servizi finanziari su blockchain
La storia di Fortress e della frode ai danni del provide Retool è servita per ricordare all’intera community di investitori in crypto di tutti i rischi associati all’affidamento dei propri fondi a servizi finanziari di terze parti.
A differenza dei mercati di investimento pienamente regolamentati, nel far west delle crypto non esistono garanzie (se non tramite rari fondi assicurativi) ed ognuno deve fare i conti con tutti i rischi di controparte che emergono quando si decide di delegare le proprie chiavi private ad aziende centralizzate.
Purtroppo in questo contesto esistono numerosi punti di vulnerabilità che spesso emergono a causa di qualche difetto inaspettato nei sistemi di diversi provider.
Sebbene questa storia si sia chiusa con il lieto fine visto che Ripple ha coperto interamente i 15 milioni di perdite con il suo intervento, evitando ripercussioni sugli investitori, è evidente che ci sono ancora problemi di fiducia in questo delicato mondo finanziario.
Lo stesso CEO di Bitgo, che ricopre la figura di fornitore di terze parti per Fortress, ha evidenziato come tutta questa situazione rappresenti l’esatto motivo per cui abbiamo bisogno del decentramento.
Anche non essendo stato affetto dall’attacco informatico con la sua società che ne è rimasta illesa, ha voluto ricordare al suo pubblico di Twitter che:
“Non possiamo continuare a dipendere dall’onestà i custodi, banchieri o “terze parti fidate” che agiscono con integrità quando accadono cose brutte.
Accadranno cose brutte e la maggior parte degli esseri umani non avrà abbastanza coraggio per essere onesti. BitGo, in quanto piattaforma di portafoglio decentralizzata e anche custode centralizzato, continueremo a lottare per eliminare gli esseri umani dal mix, per garantire che il nostro sistema finanziario non dipenda dall’integrità di nessuno e per garantire trasparenza ove possibile”
Le sue parole ricordano la filosofia portante di Bitcoin che è stato creato proprio con l’intento di poter sorpassare qualsiasi tipo di intermediazione finanziaria, in modo da poter gestire un’economia decentralizzata che non dipende dal successo o dal fallimento di singoli individui, ma che si basi sui principi di sovranità collettiva del denaro.
