:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/AZ5YH3DTDZB4LLCPUIGEEUGDKI.jpg)
Alors que j'attendais avec le reste du monde que le premier ETF Bitcoin soit approuvé, une chose me rongeait : à quelques exceptions près, dont Fidelity et VanEck, presque tous les candidats à un ETF spot Bitcoin ont l'intention d'utiliser Coinbase comme base. gardien.
David Schwed est directeur de l'exploitation de Halborn .
En tant que leader de la cybersécurité axé sur les blockchains, cette concentration de risques ainsi que la nature intrinsèquement à haut risque de la conservation des cryptomonnaies et la nature toujours en évolution des meilleures pratiques de sécurité me font réfléchir.
Ce n'est pas Coinbase lui-même qui m'inquiète ici. La firme n’a jamais été touchée par un hack connu, ce qui explique pourquoi tant d’institutions traditionnelles font confiance à son savoir-faire. Cependant, il n’existe pas de cible impossible à pirater : tout et n’importe qui peut être compromis, avec suffisamment de temps et de ressources, et c’est une leçon que j’ai apprise au cours d’une carrière à l’intersection de la cybersécurité et de la gestion d’actifs.
Ce qui m'inquiète, c'est l'extrême concentration des actifs chez un seul dépositaire. Et étant donné la nature monétaire des actifs cryptographiques, cela rend la situation intrinsèquement préoccupante.
Voir également : Le spectacle de clown Bitcoin ETF de Gary Gensler
Il est peut-être temps de repenser la désignation de « dépositaire qualifié », une approbation réglementaire qui, dans sa forme actuelle, ne garantit T nécessairement que les actifs risqués basés sur la blockchain sont nécessairement (ou mieux) sécurisés. En outre, idéalement, les dépositaires d’actifs numériques devraient être soumis à une surveillance accrue de la part d’organismes de réglementation mieux formés, dans le cadre de normes étatiques et fédérales plus rigoureuses, qu’ils ne le sont actuellement.
La plupart des dépositaires qualifiés garantissent aujourd'hui des actions, des obligations ou des soldes fiduciaires suivis numériquement, qui sont tous des accords fondamentalement juridiques, qui ne peuvent T être simplement « volés ». Mais le Bitcoin (BTC), comme l'argent liquide et l'or, est ce qu'on appelle un instrument au porteur. Un piratage cryptographique réussi est comme un braquage de banque dans le Far West : dès qu'il est entre les mains d'un voleur, l'argent disparaît tout simplement.
Ainsi, pour un dépositaire de crypto-monnaies, une ONE erreur suffit pour que les actifs disparaissent complètement.
Nous savons également que les forces de la crypto-criminalité mondiale sont formidables et déterminées. Pour ne citer ONE exemple notoire, la cohorte de piratage du groupe Lazarus en Corée du Nord aurait volé 3 milliards de dollars de crypto au cours des six dernières années, et cela ne montre aucun signe d'arrêt. Les flux entrants vers un ETF Bitcoin devraient s'élever à plus de 6 milliards de dollars au cours de la première semaine de négociation, ce qui fait de ces fonds une cible de choix.
Si Coinbase se retrouve avec des dizaines de milliards de Bitcoin dans ses coffres-forts numériques, la Corée du Nord peut facilement organiser une opération de 50 millions de dollars pour voler ces fonds, même si cela prend plusieurs années. Les acteurs de la menace comme le groupe russe Cozy Bear/APT29 pourraient également trouver de plus en plus attrayant de s’attaquer à la cryptographie institutionnelle à mesure que ces pools s’agrandissent – potentiellement beaucoup, beaucoup plus.
C’est le niveau de menace auquel se préparent les grandes banques. Un modèle répandu de gestion des risques pour les institutions financières utilise trois niveaux de surveillance . Premièrement, la couche de gestion métier conçoit et met en œuvre des pratiques de sécurité ; deuxièmement, la couche de risque supervise et évalue ces pratiques ; et troisièmement, la couche d’audit garantit que les pratiques d’atténuation des risques sont réellement efficaces.
En plus de cela, une institution financière traditionnelle aura des auditeurs externes et une surveillance informatique externe, ainsi que de nombreux régulateurs étatiques et fédéraux qui surveilleront par-dessus leurs épaules. De très nombreux yeux examineront tous les aspects du risque et de la sécurité.
Mais ces multiples niveaux de redondance et de sécurité intégrée nécessitent une chose d’une simplicité trompeuse : des effectifs.
À l'époque où j'étais responsable mondial de la technologie des actifs numériques chez BNY Mellon, la banque d'investissement comptait environ 50 000 employés, dont environ 1 000 – soit 2 % – occupaient des postes de sécurité. Coinbase, même après une récente expansion, compte moins de 5 000 employés. BitGo, également dépositaire qualifié certifié par l'État de New York et d'autres juridictions, n'en possède que quelques centaines.
Il ne s’agit pas de remettre en cause les intentions ou les compétences de ces organisations ou de leurs employés. Mais une véritable surveillance nécessite une redondance que ces nouvelles institutions pourraient avoir du mal à fournir à un niveau approprié pour sécuriser des dizaines de milliards de dollars en instruments au porteur.
Voir aussi : ETF Bitcoin : le cas Bull
Avant que ces chiffres ne deviennent encore plus élevés (et plus attrayants pour les méchants), il est grand temps d’affiner les normes de cybersécurité pour la désignation de dépositaire qualifié. À l’heure actuelle, la désignation accompagne les licences de fiducie ou bancaires, supervisées par les régulateurs étatiques et fédéraux. Il s’agit de régulateurs financiers largement axés sur les services bancaires traditionnels, et non d’experts en cybersécurité, et certainement pas d’experts en cryptographie. Ils se concentrent naturellement sur les bilans, les processus juridiques et d’autres opérations financières.
Mais pour les dépositaires de cryptomonnaies, ce ne sont T les seuls types de surveillance qui comptent, ni même nécessairement les plus importants. Il n'existe pas de normes à l'échelle du secteur pour les pratiques de cybersécurité et de gestion des risques de la part des dépositaires de crypto-monnaies, ce qui signifie que le statut de « dépositaire qualifié » n'est T aussi rassurant qu'il y paraît. Cela expose non seulement les investisseurs, mais tout un secteur naissant, à des risques opaques aux conséquences potentiellement désastreuses.
L’approbation d’une série d’ETF Bitcoin n’est que la dernière étape dans l’intégration continue des actifs numériques dans le système financier. Vous n'êtes T obligé de faire confiance aux partisans de la cryptographie sur cette prédiction – il suffit de demander à Blackrock, un géant de l'héritage qui a défendu l'ETF. À mesure que ces développements se poursuivent, les régulateurs véritablement intéressés par la protection des investisseurs s’efforceront de s’adapter à ce nouveau monde : un monde dans lequel des normes rigoureuses en matière de cybersécurité sont tout aussi importantes pour la stabilité financière que les divulgations honnêtes et les audits financiers.
