Crypto.com n'a pas dissimulé le piratage de 2023, réfute le PDG de Crypto.com, qui réfute les allégations de ZachXBT

En 2023, un adolescent et ses complices ont pris le contrôle du compte employé de la plateforme d'échange de cryptomonnaies Crypto.com, ce que l'enquêteur blockchain ZachXBT accuse l'entreprise d'avoir dissimulé. 

En réponse à la publication de la plateforme d'échange samedi, ZachXBT a affirmé que celle-ci avait été compromise à plusieurs reprises, mais qu'elle aurait « dissimulé une violation ayant affecté les informations personnelles des utilisateurs ».

PDG de Crypto.com : Nous n’avons pas dissimulé de violation de données publique

Le directeur général Kris Marszalek a répondu lundi aux allégations de ZachXBT, les qualifiant de « totalement infondées ». Dans un message publié sur X, il a écrit que l'entreprise n'avait pas manqué à son obligation de divulguer une faille de sécurité et avait déposé une « notification d'dentde sécurité des données » auprès des autorités de réglementation.

Je souhaite répondre directement et clairement à certaines informations erronées qui circulent de sources non informées…
Toute allégation selon laquelle nous n'aurions pas signalé ou divulgué un incident de sécuritédentdentdent dentdentdentdent dentdent et dans d'autres documents…

– Kris (@kris) 22 septembre 2025

Selon Marszalek, l'dent de 2023 impliquait une campagne d'hameçonnage qui ciblait un employé, mais qui a été maîtrisée en quelques heures. 

« Aucun fonds client n'a été consulté ni mis en danger, et seules quelques données personnelles de nos utilisateurs ont été partiellement affectées. Nos systèmes sont éprouvés et font l'objet d'améliorations constantes ; nous sommes fiers de notre culture axée sur la sécurité et du nombre record de certifications de sécurité que nous possédons dans notre secteur », a affirmé Marszalek.

Mais après sa réponse, ZachXBT a demandé au PDG de partager une URL où les incidentsdentété rendus publics, comme l'ont fait Coinbase et Gemini plus tôt cette année pour leurs violations de données.

« Puisque Kris, le PDG de Crypto.com, m'a bloqué, je ne peux pas répondre à son message et je répondrai simplement ici… Les soldes des utilisateurs, les noms, les adresses e-mail et les numéros de téléphone divulgués lors d'autresdentreprésentent bien plus que de simples "informations personnelles partielles" », a répondu l'enquêteur. 

En juillet, ZachXBT a accusé la société de délit d'initié, pour avoir brûlé 70 milliards de jetons CRO en 2021, pour ensuite réémettre le même montant en 2023 par le biais d'un vote de gouvernance où les validateurs liés à la plateforme d'échange ont contrôlé la majeure partie du résultat.

« N'oubliez pas qu'ils ont aussi imprimé d'autres jetons, comme ça, sans prévenir. C'est louche », a commenté un utilisateur au sujet de ces allégations. Crypto.com n'a pas répondu à ces accusations et continue de nouer des partenariats, notamment une alliance avec Trump Media pour créer une trésorerie d'actifs numériques pour CRO.

Un adolescent pirate informatique à l'origine de la faille de sécurité chez Crypto.com

Selon les enquêtes de Bloomberg, les auteurs des faits appartenaient au collectif Scattered Spider, et parmi eux figurait un jeune homme de 18 ans originaire de Floride nommé Noah Urban. 

Urban a reconnu avoir participé à l'un des réseaux de cybercriminalité les plus destructeurs au monde, qui a orchestré en 2023 une attaque contre MGM Resorts International ayant causé 100 millions de dollars de dommages, et une autre contre le détaillant britannique Marks & Spencer pour environ 400 millions de dollars.

Avec l'aide d'un autre pirate informatique connu uniquement sous le nom de Jack, l'adolescent aurait utilisé des techniques d'ingénierie sociale pour se faire passer pour des employés et a réussi à accéder au compte d'un employé de Crypto.com, ainsi qu'aux systèmes d'United Parcel Service, afin de collecter des données personnelles. 

UPS a confirmé par la suite avoir corrigé la faille de sécurité, mais a refusé de donner plus de détails. Du côté de Crypto.com, un porte-parole a déclaré que l'incident n'avait touché qu'un très petit nombre de personnes et qu'aucun fonds client n'avait été compromis.

Noah Urban a été condamné à la prison

Le parcours de Noah Urban dans la cybercriminalité a commencé à l'âge de 15 ans au sein des communautés de joueurs de Minecraft, où il a appris des techniques d'échange de carte SIM qui ne nécessitaient que peu de compétences techniques. 

Selon Bloomberg, Urban avait une voix grave inhabituelle pour son âge ; il se faisait passer pour un employé des télécommunications et le piégeait pour qu'il lui communique son numéro de téléphone.

« Salut, je m'appelle Kevin, et j'appelle de la part du service de sécurité interne de T-Mobile », disait l'un des scripts que l'adolescent utilisait pour ses tactiques d'ingénierie sociale. 

Comme révèle l'enquête, il gagnait 50 dollars pour chaque appel réussi, accumulant même jusqu'à 3 000 dollars en une seule semaine, tandis que ses amis joueurs écoutaient son canal Discord.