Ils volent 31 millions de $ en cryptomonnaies, et changent d’avis : une « blague » qui ne fait pas rire tout le monde
C’était la dernière itération du genre d’événements auxquels le secteur tumultueux de la Finance Décentralisée (DeFi) finirait presque à tristement nous habituer : le siphonnage en fin de semaine dernière de plus de 30 millions de dollars de la plateforme de Yield farming Meerkat Finance (« suricate » dans la langue d’Elon Musk), quelques heures à peine après sa naissance.
Mais le mustélidé semble farceur et l’affaire pourrait – pourquoi pas – connaître un dénouement étonnant. Tout ceci aurait en effet finalement été un « test », une forme de blague, ayant vocation selon ses auteurs à faire prendre conscience aux masses inconscientes et avides que la spéculation sans âme, c’est moche. Levons ensemble un sourcil dubitatif sur les faits.
Rififi dans la DeFi
La DeFi, la fameuse Finance Décentralisée en plein essor actuellement présente des caractéristiques pour le moins uniques, et surprenantes, même dans l’industrie pourtant déjà peu conventionnelle des actifs crypto.
Et parmi ces caractéristiques, s’il en est cependant une dont personne ne regrettera la disparition, c’est bien la fâcheuse tendance qu’ont de nombreux projets à s’évanouir dans la nature, emportant avec eux les fonds de leurs utilisateurs trop confiants.
La mécanique est classique, une plateforme de Yield Farming, copie carbone d’une précédente (elle même clonée de celle d’avant), commence par sortir de nulle part.
A coup de rendements ébouriffants et portée par une campagne de communication efficace et virale déclinée sur les réseaux crypto spécialisés, la nouvelle venue reçoit l’intérêt, puis bien vite les fonds d’une communauté de plus en plus nombreuse.
Une fois un montant suffisant atteint, l’équipe derrière (toujours anonyme, c’est plus pratique) s’enfuit en ne laissant aux utilisateurs que leur yeux pour pleurer… et une belle page 404 pour égayer leur journée.
Un schéma classique donc, qu’a parfaitement respecté le projet Merkaat Finance en fin de semaine dernière, en l’assortissant de quelques caractéristiques nouvelles :
- L’ensemble du process s’est déroulé en moins de 24 heures, exit scam inclus,
- devenu célèbre, le nom de domaine a immédiatement été re-proposé à la vente pour 10 000 « modestes » dollars, conformément au principe selon lequel il n’y a pas de petits profits.
Résultat : 31 millions évaporés (environ 13 millions de dollars en stablecoins BUSD et pas loin de 73 000 BNB) à l’aide d’un smart contract en lien avec le vault (coffre fort où sont verrouillés – enfin, théoriquement – les fonds) habilement manipulé.
Une chapitre de plus écrit en lettres de sang, aux frais des investisseurs malheureux… mais sur le grand registre distribué commun, se dira-ton un brin fataliste. Et pourtant au cours du week-end, une rumeur a commencé à courir : tout ceci ne serait… qu’un test !
Le Chat Binance et le Suricate
Le 6 mars 2021, le lendemain de la disparition de la plateforme Meerkat Finance, apparaissait un canal Telegram baptisé « MKAT Refund », mis en place par un individu se présentant sous le pseudonyme de Jamboo, le développeur de Meerkat Finance.
Sur ce canal, l’intéressé se veut rassurant. Selon lui, les fonds des utilisateurs sont en sécurité et l’ensemble de l’opération n’avait au final qu’un but : faire prendre conscience à la communauté… des dangers de la Finance Décentralisée !
« Meerkat est un projet qui a testé la cupidité et la subjectivité des utilisateurs. Meerkat n’a jamais incité les utilisateurs et les investisseurs à participer.
Le but est d’aider les utilisateurs à prendre conscience du danger potentiel des contrats intelligents, de la subjectivité dans leurs processus des sociétés d’audit. Meerkat a invité une tierce partie (hacker) à attaquer une vulnérabilité par le biais du verify proxy contract (Un rapport détaillé sur cette attaque sera présenté dans un prochain article) »
Telegram MKAT Refund
Ce message est assorti de plusieurs tutoriels à destination de ceux qui avaient bloqués de la liquidité dans les différents protocoles de la plateforme, le tout assorti d’un calendrier de remboursement portant sur 95% des fonds compromis (les 5% restant étant supposés alimenter un nouveau service).
Outre le fait que les prochaines heures permettront de déterminer si les acteurs derrière Merkaat Finance vont effectivement procéder au remboursement des fonds détournés, les motivations réelles des intéressés demeurent floues.
En effet, impossible de déterminer avec certitude les raisons réelles derrière ce coup de théâtre : véritable noblesse d’âme dans une volonté de dénonciation de l’avidité qui gangrène l’écosystème DeFi ? Ou plutôt, nécessité de sortir avec panache d’une situation compliquée et de l’impossibilité au final de récupérer les fonds discrètement (le géant Binance contrôlant de facto l’essentiel de la Binance Smart Chain où s’est opéré le larcin) ? La suite au prochain épisode de la Saga du Suricate !