- Au moins 8 projets de crypto-monnaies pourraient avoir été compromis dans la brèche de Fractal ID.
- Les protocoles menacés sont notamment Polygon, Ripple et NEAR.
Gnosis Pay, Polygon, Ripple et NEAR font partie des projets cryptographiques récemment touchés par une violation de données chez Fractal ID, un service populaire de vérification des clients. Gnosis Pay a alerté ses clients de la violation mercredi par l’intermédiaire d’un courriel du service clientèle.
Dissection de la violation de données de Fractal ID
L’email disait : « À 19h30 CET, lundi 15 juillet 2024, notre fournisseur de services de connaissance du client (KYC), Fractal ID, a informé l’équipe de Gnosis Pay qu’il avait subi une violation de données le dimanche 14 juillet 2024. »
Julian Leitloff, cofondateur de Fractal, a depuis confirmé l’exploit, déclarant qu’une activité suspecte avait été remarquée sur le compte d’un seul opérateur. Environ 0,5 % du million d’utilisateurs de Fractal ID ont été touchés par la violation, comme l’a révélé le compte X officiel de la plateforme. M. Leitloff a toutefois reconnu que l’accès a été rapidement bloqué et que la cause a été identifiée avec l’aide d’une assistance externe.
Le dimanche 14 juillet 2024, une partie externe malveillante a accédé à la base d’utilisateurs de Fractal ID en obtenant un accès non autorisé au compte d’un opérateur. Notre équipe a agi rapidement, mais environ 0,5 % de notre base d’utilisateurs a été affectée.
Notre première ligne de responsabilité est celle des utilisateurs..
– FRACTAL ID (@Fractal_ID) 17 juillet 2024
Néanmoins, environ 0,5 % de la base d’utilisateurs de Gnosis a été affectée. Les informations potentiellement compromises comprennent celles contenues dans le profil utilisateur de Fractal ID. Ces données peuvent inclure des informations telles que des adresses de portefeuille, des adresses électroniques, des numéros de téléphone et des images de documents téléchargés.
M. Leitloff a ajouté que l’attaque visait l’accès au compte de l’opérateur, plutôt que l’accès spécifique à Gnosis. « Le système lui-même n’a pas été touché, mais ce compte, c’est-à-dire chaque utilisateur auquel ce compte avait accès », a indiqué M. Leitloff.
La récente attaque a suscité des inquiétudes quant à la sécurité de Fractal et des services de vérification en général. Un utilisateur de X, @arlery, a exprimé ses craintes au sujet de la violation en déclarant : « Fractal KYC exige de montrer une preuve d’identité et une preuve de résidence, etc. Je l’ai utilisé pour Optimism retro KYC et Thrive/Arbitrum KYC. Le fait qu’ils aient été compromis est très alarmant. »
Fractal a toutefois promis de prendre des mesures immédiates pour atténuer l’impact d’une violation et mettre en œuvre des mesures de sécurité supplémentaires. En conséquence, la plateforme a déclaré avoir informé les autorités chargées de la protection des données et la division de la police chargée de la lutte contre la cybercriminalité de la situation récente.
Fractal ID est un système interopérable d’identité décentralisée pour Web3. Comme d’autres fournisseurs de services KYC et anti-blanchiment d’argent (AML), Fractal ID recueille et stocke des données sensibles pour l’utilisateur, appelées informations personnelles identifiables. Selon son site web, Fractal ID fournit une assistance à la conformité pour au moins huit protocoles cryptographiques, dont Polygon, Ripple, Near, et plus de 250 entreprises.
L’essor de l’identité décentralisée pour la vérification
Il convient de noter que de nombreuses infrastructures blockchain intègrent désormais l’identité décentralisée en tant que composant central. Cet effort s’inscrit dans le cadre de la transition de la couche dApp à la couche d’infrastructure fondamentale. Cette démarche est similaire à celle des explorateurs, des portefeuilles et des oracles.
Comme indiqué dans notre précédent article, le réseau Hedera a formé une alliance avec Tuum Technologies pour l’intégration d’Identity Snap avec MetaMask. Cette collaboration s’adresse aux développeurs intéressés par le développement d’identifiants numériques (DID) et de certificats vérifiables (VC) sur le réseau Hedera.
Dans une démarche similaire, IOTA a récemment collaboré avec le gouvernement de Taïwan pour mettre en œuvre des solutions d’identification décentralisées. Comme nous l’avons souligné dans notre précédent article, ce partenariat fait suite à la collaboration antérieure de IOTA avec l’Union européenne sur sa solution d’identité numérique EDIC.