La plateforme d'échange décentralisée WAVES a fait ses débuts à 6 millions de dollars. Puis elle a été piratée.

Lorsqu'un échange de Cryptomonnaie décentralisé prend en charge les jetons fiduciaires et courtise les banques, tout en rendant l'identification du client facultative, tous les paris sont ouverts.

Selon les données fournies à CoinDesk par le projet blockchain WAVES, la nouvelle plateforme d'échange décentralisée (DEX) de l'entreprise gérait 6 millions de dollars de transactions Crypto par jour à la fin de sa phase de test bêta le mois dernier. C'est six fois le volume quotidien d'un DEX concurrent. AirSwap, s'est vanté lors de ses débuts en avril.

WAVES, qui est constituée en Suisse mais dont le siège social est en Russie, a également déclaré à CoinDesk que son DEX comptait 90 000 traders utilisant 330 000 portefeuilles avant son lancement complet cette semaine, éclipsant ainsi le chiffres comparablespour d'autres DEX.

Plusieurs raisons expliquent ces performances impressionnantes dès le départ. ONE est la rapidité, grâce au service de matchmaking centralisé de la plateforme, qui met en évidence les contradictions inhérentes aux DEX, qui ont encore du chemin à parcourir avant de faire honneur à leur nom.

Un autre facteur est que presque n'importe quel trader peut émettre un jeton sur la blockchain unique de WAVES, même ONE qui représente un IOU en monnaie fiduciaire, et l'échanger instantanément contre du Bitcoin sur la bourse.

Parmi les attraits majeurs pour les commerçants, les vérifications ID standard de type « connaître son client » sont facultatives sur ce marché, sauf dans certaines circonstances.

Mais le déploiement n’a T été que rose.

Mardi, alors que WAVES mettait officiellement fin à sa période bêta d'un an et demi et lançait le DEX complet, des pirates ont piraté le site web de la plateforme et le site principal de l'entreprise pour hameçonner les informations personnelles des portefeuilles des utilisateurs. Il a fallu plusieurs heures à WAVES pour remettre son site en ligne après avoir restauré l'accès au serveur DNS.

« Quelqu'un a falsifié mon passeport et l'a donné au personnel d'assistance de la société de domaine, qui a modifié le mot de passe à sa Request. L'attaquant a ensuite pu modifier le site web principal », a déclaré Sasha Ivanov, PDG de WAVES , à CoinDesk.

Sans se laisser décourager par l'incident, ni par les critiques des pratiques de sécurité de WAVES, Ivanov a déclaré à CoinDesk qu'il espérait que même les banques commenceraient également à lancer des devises sur son DEX.

Il a dit :

« Nous recherchons des partenariats avec de grandes banques car nous espérons que les grandes banques voudront émettre leurs propres jetons fiat. »

Comment ça marche

Pour effectuer des transactions sur le DEX, les utilisateurs ont besoin de jetons WAVES . Le projet, plus vaste, a levé 22 millions de dollars en vendant ces jetons natifs en 2016. Ces jetons servent également à exécuter des contrats intelligents et à motiver les opérateurs de nœuds sur la blockchain WAVES , un modèle similaire à Ethereum.

Le réseau a rassemblé plus de 200 nœuds uniques, dont deux gérés par la société canadienne de jeux mobiles RewardMob, qui considère le DEX comme une attraction clé.

« Désormais, nous n'avons T à nous soucier du contrôle des devises de différents pays ni des joueurs souhaitant effectuer des retraits dans différentes devises. Cela permet aux joueurs d'échanger leurs jetons entre eux… La plateforme d'échange décentralisée a été un élément clé dans notre décision de choisir WAVES», a déclaré Todd Koch, PDG de RewardMob, à CoinDesk.

Son entreprise a lancé son propre jeton basé sur Waves et prépare une ICO. Elle gère des récompenses tokenisées pour plusieurs jeux vidéo, comme une application de beer pong, et gère des portefeuilles back-end pour plus de 100 000 utilisateurs.

« Nous voulons intégrer le DEX directement dans notre application afin que [lorsque] un joueur gagne notre monnaie, il puisse facilement l'échanger contre des WAVES , du Bitcoin ou toute autre Cryptomonnaie», a déclaré Koch.

Étant donné que le logiciel de matchmaking WAVES DEX est open source, de nombreux nœuds pourraient exécuter leurs propres matchmakers et agir presque comme des mineurs de Cryptomonnaie gagnant des frais (en jetons WAVES ) pour le traitement des transactions.

Mais la plupart des échanges passent par le propre matchmaker central de WAVES.

Dean Eigenmann, cofondateur de la startup de gouvernance blockchain Harbour et du projet DEX Dexy, a trouvé cette approche douteuse, affirmant qu'elle va à l'encontre de l'objectif d'un DEX si le service peut être refusé par une autorité centrale.

Ivanov a reconnu que la situation actuelle était en décalage avec l'éthique décentralisée et qu'elle devait évoluer. Il a déclaré :

« Un système de mise en relation centralisé peut simplement dire « Je n'accepte T l'échange », pour l'instant, il est donc important pour nous de le rendre plus fiable. »

Conformité

Le DEX WAVES nécessite généralement des vérifications d'identité dans deux cas : lorsque les utilisateurs optent pour un retrait d'argent fiduciaire, via le processeur de paiement Coinomat basé en République tchèque, une société distincte lancée par Ivanov en 2013 ; ou lorsqu'ils émettent un jeton sur la plateforme WAVES , puis le répertorient publiquement sur le DEX.

Selon Ivanov, l'émission de jetons privés négociés via des options de cotation privées ne nécessite pas de vérification d'identité pour des raisons de conformité. Il en va de même pour l'échange de Bitcoin contre d'autres jetons.

« Pour l'instant, vous pouvez effectuer des échanges de crypto à crypto sans aucun type de KYC », a déclaré Ivanov à CoinDesk.

Mais Drew Hinkes, conseiller juridique en chef et cofondateur de la société de conseil en Crypto Athena Blockchain, a déclaré à CoinDesk que l'exception ne s'applique probablement T aux utilisateurs aux États-Unis.

« Nous savons, grâce aux orientations de 2013 publiées parFinCEN [Réseau de lutte contre la criminalité financière], de nombreux acteurs de l'écosystème Crypto doivent disposer d'un BSA (Bank Secrecy Act) et de programmes de conformité AML (lutte contre le blanchiment d'argent), a déclaré Hinkes. « Ces programmes doivent inclure des outils d'identification des clients. »

Selon ces directives, si un échangeur accepte ou transmet une monnaie virtuelle, ou si l'échangeur achète ou vend de la monnaie virtuelle pour une raison quelconque, il est un émetteur d'argent sous la juridiction du FinCEN et est donc tenu de vérifier ID.

« Les directives indiquent que, lors de la définition d'un émetteur d'argent, ils ne se soucient T de savoir si vous utilisez des devises réelles ou des devises virtuelles convertibles », a déclaré Hinkes, qui est également professeur adjoint à la faculté de droit de l'université de New York et à la Stern School of Business.

Pendant ce temps, l'opérateur de nœuds WAVES , RewardMob, exige que les utilisateurs fournissent des informations personnelles telles que leurs noms et adresses complets, selon Koch, qui a cité les exigences de la loi canadienne sur les loteries.

Sécurité

L'attaque de phishing de cette semaine a non seulement mis un frein au lancement de DEX, mais elle a également incitécritique de la pratique de WAVES consistant à demander aux utilisateurs de saisir leurs graines de récupération – des chaînes de mots qui agissent comme des mots de passe pour les portefeuilles Crypto – dans un site Web pour utiliser son portefeuille logiciel.

Tirant une leçon différente du détournement, Ivanov a déclaré : « Nous et l'ensemble du secteur devons travailler sur des systèmes de noms de domaine décentralisés. »

Une porte-parole de WAVES a ajouté que « les serveurs DNS du site web de WAVES sont gérés par le bureau d'enregistrement et, dans ce cas précis, leur sécurité échappe à notre contrôle. Néanmoins, le niveau de sécurité du bureau d'enregistrement est bel et bien remis en question, et nous envisageons donc actuellement de nouvelles mesures… afin de garantir que cette faille unique ne se reproduise plus. »

L’incident n’était cependant pas la première fois que l’entreprise était confrontée à des failles de sécurité.

En 2017, un audit du cabinet de cybersécuritéKudelski Sécurité a souligné que malgré une « bonne ingénierie de sécurité » globale, la blockchain unique de WAVES était sensible à plusieurs types d'attaques et que les mots de passe des portefeuilles des utilisateurs étaient stockés dans une base de données en texte clair qui était « lisible par toute personne accédant au système de fichiers ».

Interrogé à ce sujet, Ivanov a déclaré :

« La plupart des recommandations ont été appliquées. Concernant les mots de passe, tous les points critiques ont été corrigés. Ils sont toujours stockés dans un fichier de configuration clair. »

Eigenmann a déclaré qu'il n'était pas impressionné par l'infrastructure de WAVES ou par l'ICO.

« C'est tout simplement embarrassant de constater le niveau de compétences en développement logiciel requis pour certains de ces projets », a-t-il déclaré à CoinDesk. « Je ne vois T d'intérêt réel aux jetons pour les plateformes d'échange. »

Malgré la controverse, le volume de WAVES est stupéfiant pour un nouvel échange avec des options d'auto-garde.

Selon les données internes de WAVES, le 23 juin seulement, les traders DEX ont échangé des jetons WAVES contre 1,59 million de dollars de Bitcoin et 251 697 dollars de Monero, pour n'en citer que quelques-uns.

Ivanov a déclaré qu'il était reconnaissant envers la communauté pour son soutien à son ICO et qu'il était désireux d'apporter une réelle valeur ajoutée aux entreprises mondiales.

« Notre blockchain est très rapide », a-t-il déclaré, affirmant que WAVES peut traiter 500 transactions par seconde. « Nous avons une communauté brésilienne et turque très active ; vous pouvez même échanger des jetons en lires sur notre plateforme. »

Coffre-fort de banquevia Shutterstock