Un retraité américain perd plus de 3 millions de dollars en XRP suite à une faille de sécurité
Un retraité américain a signalé la disparition de plus de 3 millions de dollars en XRP après avoir consulté l’application mobile Ellipal le 15 octobre, découvrant que son solde avait disparu. Cette révélation a incité l’analyste pseudonyme ZackXBT à entreprendre une enquête sur la traçabilité des fonds, rapporte TopTribune.
CoinDesk n’a pas vérifié de manière indépendante l’identité de l’investisseur, ses soldes ou le parcours complet des transactions. Les éléments proviennent de plusieurs vidéos YouTube publiées depuis le 15 octobre, d’une déclaration publique d’Ellipal datée du 18 octobre et d’un fil de discussion de ZackXBT publié le 19 octobre.
Ce qu’affirme la victime
L’investisseur, identifié sous le nom de Brandon, a indiqué qu’il réside en Caroline du Nord et que la position XRP représentait presque la totalité de ses économies de retraite, prévoyant d’acheter une maison à Las Vegas. Il a commencé à accumuler des XRP depuis 2017, mais avait vendu une partie pour couvrir ses frais de vie. Dans ses vidéos, il a précisé avoir découvert le vol en vérifiant l’application Ellipal le mercredi 15 octobre et a constaté que le drainage des fonds avait eu lieu le dimanche précédent, le 12 octobre.
Il a décrit deux retraits de test de 10 XRP vers 11h15, heure de l’Est, suivis d’un transfert d’environ 1 209 990 XRP vers une adresse nouvellement créée, avant un éventail rapide vers des dizaines de portefeuilles et, finalement, des centaines. D’autres actifs, dont environ 1 000 dollars en XLM et environ 900 dollars en FLR, étaient restés sur le compte.
Brandon a signalé avoir déposé une plainte auprès du Centre de plainte sur les crimes liés à Internet du FBI et contacté les autorités locales, mais a eu du mal à joindre rapidement des unités spécialisées en cybersécurité. Il a avoué ne pas savoir exactement comment les fonds avaient été extraits de son portefeuille chaud.
Explication d’Ellipal et confusion sur le passage de froid à chaud
Ellipal a affirmé le 18 octobre que son examen indiquait que l’utilisateur avait importé la phrase de récupération de son portefeuille matériel dans l’application mobile, ce qui aurait recréé le portefeuille sur un appareil connecté à Internet.
Dans un courriel à l’utilisateur, Ellipal a expliqué que si la clé d’un portefeuille à froid est utilisée sur un téléphone ou une tablette, celle-ci sera stockée sur cet appareil, le transformant ainsi en portefeuille chaud et réduisant considérablement la sécurité. Brandon a précisé qu’il avait l’application Ellipal à la fois sur un iPhone et un iPad, indiquant que l’application sur iPhone affichait un fond bleu, signalant une connexion au portefeuille à froid, tandis que celle sur iPad montrait un fond orange, indiquant un portefeuille chaud.
Ellipal a tenu à souligner que ses dispositifs matériels sont déconnectés de tout réseau et n’ont pas enregistré de vols provenant directement du matériel lui-même, orientant ainsi la responsabilité vers une erreur d’utilisateur, bien que cela n’exclue pas d’autres méthodes de compromission.
Destination supposée des fonds selon l’enquête de ZackXBT
Dans un fil de discussion publié le 19 octobre, ZackXBT a déclaré avoir identifié l’adresse du vol en corrélant les horaires et les montants des vidéos. Il a rapporté que l’attaquant avait créé plus de 120 commandes de conversion Ripple-Tron le 12 octobre via un service d’échange anciennement connu sous le nom de SWFT, notant que certains explorateurs de blocs désignent ces transferts comme étant associés à “Binance”, car ce service utilise cette plateforme pour sa liquidité.
Les fonds se sont consolidés sur Tron à une adresse particulière et, au 15 octobre, avaient été dispersés à des courtiers de gré à gré liés à Huione, un marché en ligne d’Asie du Sud-Est, mentionné dans des actions publiques récentes par les autorités américaines. CoinDesk n’a pas pu reproduire indépendamment le traçage complet ni confirmer les destinataires finaux.
