L'enquête FTX révèle qu'Alameda Research est "non auditable" selon Sam Bankman-Fried

L'équipe de direction d'FTX, dirigée par le PDG John Ray III, a publié son premier rapport intermédiaire complet détaillant les échecs catastrophiques des contrôles internes qui ont conduit à l'effondrement de la plateforme d'échange de cryptomonnaies. Le document de 45 pages, publié dimanche après-midi par FTX Trading Ltd et ses débiteurs affiliés, présente une image troublante de dysfonctionnement organisationnel.

Échecs de contrôle critiques exposés

Le rapport documente de manière méticuleuse les opérations chaotiques d'FTX, mettant en évidence des pratiques de tenue de dossiers désorganisées, une infrastructure de cybersécurité pratiquement inexistante et un manque profond d'expertise dans des domaines opérationnels essentiels, en particulier la finance.

Parmi les constatations les plus révélatrices figurent Alameda Research, la société de trading accusée d'avoir accédé de manière inappropriée à des milliards de fonds clients d'FTX. Selon le rapport, Alameda "avait souvent des difficultés à comprendre ses positions, sans parler de les couvrir ou de les comptabiliser." L'ancien PDG Sam Bankman-Fried—maintenant assigné à résidence et faisant face à plusieurs accusations criminelles—décrivit Alameda dans des communications internes comme "hilarant au-delà de tout seuil permettant à un auditeur de même partiellement compléter un audit."

"Alameda est inauditée," a poursuivi Bankman-Fried dans ces communications. "Je ne veux pas dire 'une grande entreprise de comptabilité aura des réserves à son sujet,' mais plutôt 'nous ne pouvons qu'estimer ce que ses soldes sont, sans parler de quelque chose comme un historique des transactions complet.' Nous découvrons parfois $50 millions d'actifs dont nous avons perdu la trace; telle est la vie."

Contrôle centralisé et vulnérabilités techniques

L'enquête révèle que les décisions les plus significatives étaient étroitement contrôlées par un petit cercle restreint composé de Bankman-Fried, du CTO Gary Wang et du directeur de l'ingénierie Nishad Singh. Wang et Singh ont depuis plaidé coupables et coopèrent avec les autorités. Leur influence démesurée était si extrême qu'un ancien dirigeant cité dans le rapport a déclaré : "Si Nishad [Singh] se faisait renverser par un bus, toute l'entreprise serait finie." La même vulnérabilité s'appliquait à Wang.

Défauts de sécurité graves identifiés

Le rapport détaille des lacunes choquantes en matière de cybersécurité qui mettent en danger des milliards d'actifs :

• FTX n'avait "aucun personnel dédié" à la gestion de la cybersécurité, comptant plutôt sur Singh et Wang qui manquaient de formation et d'expérience appropriées pour de telles responsabilités critiques.
• Les clés privées contrôlant plus de $100 millions d'actifs Ethereum étaient stockées en texte clair sans cryptage sur un serveur du groupe FTX.
• Des clés à signature unique contrôlant des milliards d'actifs cryptographiques étaient stockées dans AWS Secrets Manager ou des coffres de mots de passe accessibles à de nombreux employés
• De nombreuses clés privées manquaient de procédures de sauvegarde, ce qui signifie que les fonds seraient définitivement perdus si la clé associée était compromise ou égarée.

Échecs de gouvernance systémiques

John Ray III, qui a pris la relève en tant que PDG suite à l'effondrement de FTX, a proposé une évaluation franche : "Dans ce rapport, nous fournissons des détails sur nos conclusions selon lesquelles le groupe FTX n'a pas réussi à mettre en place des contrôles appropriés dans des domaines critiques pour protéger les liquidités et les actifs cryptographiques." Il a ajouté que "le groupe FTX était étroitement contrôlé par un petit groupe d'individus qui prétendaient faussement être des gestionnaires responsables du groupe FTX mais qui avaient peu d'intérêt à instituer une surveillance ou à mettre en œuvre un cadre de contrôle approprié."

Ces résultats s'alignent sur les défis d'audit de l'industrie plus larges identifiés par des experts en 2025, où les échecs de reporting et le suivi des activités de trading complexes demeurent des problèmes significatifs dans le secteur des cryptomonnaies.