WazirX : un piratage extérieur ou une affaire interne dissimulée ?

Le 18 juillet dernier, la communauté crypto indienne a été ébranlée lorsque WazirX, la plus grande plateforme d’échange du pays, a annoncé avoir été victime d’un piratage dévastateur. Pas moins de 235 millions de dollars se sont envolés d’un seul portefeuille, les soupçons initiaux pointant vers le tristement célèbre groupe Lazarus de Corée du Nord. Si la plateforme a rapidement attribué cette brèche à des forces extérieures, de récentes allégations viennent aujourd’hui remettre en question cette version des faits.

Une affaire interne dissimulée ?

Le 26 novembre, un groupe d’utilisateurs mécontents de WazirX, rassemblés sous la bannière « Justice for WazirX Users », a affirmé sur Twitter qu’il ne s’agissait peut-être pas d’une cyberattaque internationale, mais bien d’une affaire interne maquillée. Leurs accusations s’appuient sur une chronologie détaillée des événements précédant le hack, dépeignant une plateforme aux prises avec des difficultés financières, une surveillance réglementaire accrue et un chaos opérationnel, soutenant que les circonstances entourant la brèche sont trop troublantes pour être ignorées.

Un effet domino dévastateur

D’après le fil Twitter devenu viral, les ennuis de WazirX ne datent pas du piratage, mais remontent à février 2022, lorsque le gouvernement indien a imposé une taxe de 30% sur les profits liés aux cryptomonnaies. Pour WazirX, cette mesure a entraîné un effondrement des revenus du jour au lendemain, laissant la plateforme autrefois florissante face à une activité réduite des utilisateurs et des profits en berne – un signal alarmant dans le marché ultra-compétitif des cryptomonnaies.

Deux mois plus tard, en avril 2022, les fondateurs de WazirX, Nischal Shetty et Siddharth Menon, se sont installés définitivement à Dubaï. Avec l’écosystème crypto indien sous surveillance croissante, leur départ a soulevé des questions gênantes : s’agissait-il d’une tentative stratégique de se protéger des pressions réglementaires, ou simplement d’un mouvement de routine mal interprété par le public ?

Un partenariat rompu et des fonds gelés

La situation a pris une tournure dramatique en août 2022 lorsque la Direction de l’Exécution indienne a gelé 8 millions de dollars d’actifs de WazirX, alléguant une implication dans du blanchiment d’argent. Bien que WazirX ait nié ces allégations, ce raid a terni la réputation de la plateforme et ajouté une pression opérationnelle immense.

En janvier 2023, les défis se sont intensifiés lorsque Binance, le géant mondial de la crypto et ancien partenaire de WazirX, a rompu tous les liens avec la plateforme. Invoquant des différends de gouvernance, Binance a exigé le transfert des fonds, coupant de fait un système de soutien crucial.

Un portefeuille unique, une cible facile

En janvier 2024, les choses se sont encore compliquées lorsque l’Inde a purement et simplement interdit Binance, obligeant de nombreux utilisateurs indiens à retransférer leurs fonds vers WazirX, gonflant ses réserves à des niveaux énormes.

Selon les informations, la plateforme aurait concentré 235 millions de dollars dans un seul portefeuille, tout en répartissant 333 millions supplémentaires sur 250 000 portefeuilles plus petits. Pour certains, c’était une bombe à retardement, compte tenu des risques inhérents à la centralisation d’une somme aussi importante en un seul endroit.

Le piratage lui-même a frappé en juillet 2024, effaçant les 235 millions de dollars stockés dans ce portefeuille unique. Cependant, les critiques n’ont pas tardé à soulever des questions criantes. Pourquoi WazirX aurait-il consolidé une somme aussi importante dans un seul endroit vulnérable ? S’agissait-il d’une négligence pure et simple, ou de quelque chose de bien plus calculé, voire d’un piratage mis en scène ?

Remboursements partiels et tokens de récupération

Face à la pression croissante et aux questions non résolues suite au piratage de juillet, WazirX a introduit un plan structuré pour indemniser ses créanciers. Si le plan promet un remboursement à terme, il est assorti de conditions qui obligent les utilisateurs à absorber une perte immédiate de 48% de leurs fonds, une perte que WazirX affirme vouloir combler progressivement.

Pour régler les 48% de passif qui ne peuvent être immédiatement remboursés, WazirX émettra des « Recovery Tokens » aux créanciers. Chaque token représentera 1$ et servira de substitut aux fonds en attente. Ces tokens pourront être encaissés à l’avenir, à condition que WazirX parvienne à relancer ses activités et à générer des revenus.

Des révélations troublantes

En octobre, la Haute Cour de Delhi a entendu une pétition déposée par un investisseur, Jaivir Bains, alléguant que WazirX aurait fusionné les fonds des comptes piratés et non piratés pour atténuer les pertes – une approche qui aurait affecté les investisseurs non touchés.

De plus, le cabinet du pétitionnaire a soutenu que ces actions violaient le contrat d’utilisation de la plateforme et les normes réglementaires, plaidant pour une enquête de la Cellule de renseignement financier (FIU) et de la DE. La pétition a également soulevé des inquiétudes quant à l’adéquation des mécanismes de surveillance, soulignant que les fonds volés avaient été transférés à Singapour, compliquant potentiellement les efforts de récupération.

Un système qui faillit à son peuple

L’affaire du piratage de WazirX reste entourée d’ambiguïté. Qu’il s’agisse d’une attaque externe sophistiquée ou d’une affaire interne déguisée, la vérité n’a pas encore émergé. Cependant, l’incident a non seulement exposé les vulnérabilités des plateformes crypto, mais a également mis en lumière les insuffisances des systèmes réglementaires et juridiques indiens dans la gestion efficace de telles crises.

Depuis le piratage de juillet 2024, des millions d’utilisateurs ont été laissés dans la détresse, beaucoup étant confrontés à la ruine financière. Les réseaux sociaux regorgent d’histoires déchirantes d’investisseurs aux prises avec la perte de leurs économies. Des victimes auraient eu recours à des mesures extrêmes, comme s’endetter lourdement pour couvrir leurs pertes, vendre des biens personnels tels que des maisons et des véhicules, et, dans des cas tragiques, envisager même le suicide.

Près de cinq mois après le piratage, les organismes de réglementation et d’application de la loi indiens ont tardé à agir. La FIU et la DE, chargées de la conformité financière et des enquêtes sur le blanchiment d’argent, sont restées largement en retrait. Pendant ce temps, l’affaire a pris une tournure internationale, avec l’examen du programme de restructuration de WazirX par la Haute Cour de Singapour, des décisions critiques sur les remboursements aux utilisateurs et l’avenir de la plateforme étant prises hors de la juridiction indienne.

L’ironie est frappante : une base d’utilisateurs principalement indienne cherche maintenant justice auprès d’un système juridique à l’autre bout du monde, tandis que son propre gouvernement est à la traîne. Que le piratage ait été une brèche externe ou une affaire interne pourrait prendre des mois, voire des années, à déterminer. Pour l’instant, la détresse des utilisateurs sert de rappel brutal des conséquences des défaillances systémiques dans un écosystème cryptographique en pleine évolution.