La plus grande menace pour les ETF Bitcoin dont ONE ne parle

Alors que j'attendais avec le reste du monde que le premier ETF Bitcoin soit approuvé, une chose me rongeait : à quelques exceptions près, dont Fidelity et VanEck, presque tous les candidats à un ETF Bitcoin au comptant ont l'intention d'utiliser Coinbase comme dépositaire.

David Schwed est directeur de l'exploitation de Halborn.

En tant que leader de la cybersécurité axé sur les blockchains, cette concentration de risques ainsi que la nature intrinsèquement à haut risque de la garde des Crypto et la nature en constante évolution des meilleures pratiques de sécurité me laissent perplexe.

Ce n'est pas Coinbase en soi qui m'inquiète. L'entreprise n'a jamais été victime d'un piratage connu, ce qui explique pourquoi tant d'institutions traditionnelles font confiance à son savoir-faire. Cependant, il n'existe pas de cible inviolable : tout et n'importe qui peut être compromis, avec suffisamment de temps et de ressources, et c'est une leçon que j'ai apprise au cours de ma carrière à la croisée de la cybersécurité et de la gestion d'actifs.

Ce qui m'inquiète, c'est l'extrême concentration des actifs chez un seul dépositaire. Et compte tenu de la nature quasi monétaire des Crypto , cela rend la situation particulièrement préoccupante.

Voir aussi :Le spectacle clownesque de Gary Gensler sur les ETF Bitcoin

Il est peut-être temps de repenser la désignation de « dépositaire qualifié », une certification réglementaire qui, dans sa forme actuelle, T garantit pas nécessairement la sécurisation optimale des actifs blockchain à risque. De plus, idéalement, les dépositaires d'actifs numériques devraient être soumis à une surveillance accrue de la part d'organismes de réglementation mieux formés, conformément à des normes étatiques et fédérales plus rigoureuses qu'actuellement.

Aujourd'hui, la plupart des dépositaires qualifiés sécurisent des actions, des obligations ou des soldes fiduciaires suivis numériquement, autant d'accords fondamentalement légaux qui T peuvent être simplement « volés ». Mais le Bitcoin [BTC], comme l'argent liquide et l'or, est un instrument au porteur. Un piratage Crypto réussi est comparable à un braquage de banque dans le Far West : dès qu'il tombe entre les mains d'un voleur, l'argent disparaît.

Ainsi, pour un dépositaire de Crypto , une ONE erreur suffit pour que les actifs disparaissent complètement.

Nous savons également que les forces de la cryptocriminalité mondiale sont redoutables et déterminées. Pour ne citer ONE exemple notoire, le groupe de pirates informatiques nord-coréen Lazarus Group serait responsable de 3 milliards de dollars de Crypto volés Au cours des six dernières années, et rien ne semble indiquer une baisse. Les flux de capitaux vers un ETF Bitcoin ont été estimés à plus de 6 milliards de dollars dès la première semaine de négociation, ce qui fait de ces fonds une cible de PRIME .

Si Coinbase se retrouve avec des dizaines de milliards de Bitcoin dans ses coffres numériques, la Corée du Nord pourrait facilement organiser une opération de 50 millions de dollars pour voler ces fonds, même si cela prend plusieurs années. Des acteurs malveillants comme le groupe russe Cozy Bear/APT29 pourraient également trouver de plus en plus attrayant de s'attaquer aux Crypto institutionnelles à mesure que ces pools s'agrandissent, potentiellement beaucoup plus.

C'est le niveau de menace auquel les grandes banques se préparent. Un modèle répandu de gestion des risques pour les institutions financières utilise trois niveaux de surveillancePremièrement, la couche de gestion d’entreprise conçoit et met en œuvre les pratiques de sécurité ; deuxièmement, la couche de risque supervise et évalue ces pratiques ; et troisièmement, la couche d’audit s’assure que les pratiques d’atténuation des risques sont réellement efficaces.

De plus, une institution financière traditionnelle sera soumise à des auditeurs externes et à une supervision informatique externe, ainsi qu'à la surveillance de nombreux régulateurs étatiques et fédéraux. De nombreux regards seront rivés sur chaque aspect des risques et de la sécurité.

Mais ces multiples niveaux de redondance et d’imbrication des mesures de sécurité nécessitent une chose d’une simplicité trompeuse : le nombre d’employés.

À l'époque où j'étais responsable mondial des Technologies des actifs numériques chez BNY Mellon, la banque d'investissement comptait environ 50 000 employés, dont environ 1 000 – soit 2 % – occupaient des postes dans la sécurité. Coinbase, malgré sa récente expansion, compte moins de 5 000 employés. BitGo, également unedépositaire qualifiécertifié par l'État de New York et d'autres juridictions, n'en compte que quelques centaines.

Il ne s'agit pas de remettre en cause les intentions ou les compétences de ces organisations ou de leurs employés. Mais une véritable surveillance exige une redondance que ces nouvelles institutions pourraient avoir du mal à assurer à un niveau suffisant pour sécuriser des dizaines de milliards de dollars d'instruments au porteur.

Voir aussi :ETF Bitcoin : le scénario haussier

Avant que ces chiffres ne s'amplifient (et ne deviennent plus attrayants pour les pirates), il est grand temps d'affiner les normes de cybersécurité pour la désignation de dépositaire qualifié. Actuellement, cette désignation accompagne l'obtention d'un agrément bancaire ou fiduciaire, supervisé par les régulateurs étatiques et fédéraux. Ces régulateurs financiers se concentrent principalement sur le secteur bancaire traditionnel, et non sur les experts en cybersécurité, et encore moins sur les Crypto . Ils se concentrent naturellement sur les bilans, les processus juridiques et autres opérations financières.

Mais pour les dépositaires de Crypto , ce ne sont T les seuls types de surveillance qui comptent, ni même nécessairement les plus importants. Il n'existe pas de normes sectorielles spécifiques aux dépositaires de Crypto en matière de cybersécurité et de pratiques de gestion des risques, ce qui signifie que le statut de « dépositaire qualifié » n'est T aussi rassurant qu'il n'y paraît. Cela expose non seulement les investisseurs, mais tout un secteur naissant, à des risques opaques aux conséquences potentiellement désastreuses.

L'approbation d'une série d'ETF Bitcoin n'est que la dernière étape de l'intégration continue des actifs numériques au système financier. Il ne faut T se fier aux partisans des Crypto sur ce point ; il suffit de demander à Blackrock, un géant historique qui a défendu l'ETF. Face à ces évolutions, les régulateurs véritablement soucieux de la protection des investisseurs s'attacheront à s'adapter à ce nouveau monde : un monde où des normes de cybersécurité rigoureuses sont tout aussi importantes pour la stabilité financière que l'honnêteté des informations publiées et les audits financiers.