Nouvelle semaine, nouveau rug pull – Alors que la Binance Smart Chain (BSC) connaît un engouement grandissant autour de son écosystème DeFi, celle-ci n’est pas épargnée par les hacks et les arnaques. Cette fois-ci, ce sont les développeurs du protocole TurtleDEX qui se sont évaporé avec un magot de 2 millions d’euros.
Un protocole qui n’aura pas fait long feu
TurtleDEX était – l’utilisation du passé s’impose – un protocole DeFi hébergé sur la Binance Smart Chain, la blockchain de la plateforme d’échange éponyme.
Lancé le 15 mars dernier, celui-ci a levé 9 000 BNB, soit environ 2 millions d’euros, lors de la prévente du jeton TTDX. Jusqu’ici, rien d’anormal : un énième projet sorti de nulle part qui arrive à lever plusieurs millions sur la BSC. business as usual !
Cependant, l’aventure sera brève. Le 19 mars, le protocole JetFuel, ayant récemment effectué un partenariat avec TurtleDEX, annonce à ses utilisateurs que le protocole TurtleDEX a été la cible d’un rug pull. Ces derniers se disent « choqués » et font ce qui est en leur pouvoir pour enquêter sur le vol.
Pour rappel, le rug pull est un terme anglophone qui désigne le fait que les développeurs d’un protocole partent avec l’ensemble de ses liquidités.
D’après l’analyse des transactions, les développeurs de TurtleDEX ont drainé l’intégralité des fonds, les ont convertis en ETH avant de les envoyer sur un wallet Binance pour les liquider. Dans la foulée, les réseaux sociaux, le site ainsi que le Github du projet ont été mis hors ligne.
Un protocole pourtant audité… Vraiment ?
Cet énième rug pull relance le débat autour des audits de smart contracts et leur importance. En effet, tout semblait sécurisé du côté de TurtleDEX, qui arborait fièrement son audit réalisé par TechRate, comme l’a souligné @DefiStalker sur Twitter.
Mais malgré tous ces efforts, les développeurs ont été en mesure de siphonner les fonds avant de disparaître, sans qu’aucune mention de faille ou backdoor le permettant n’ayant été mentionnée dans l’audit.
Le problème : des audits mal réalisés et pas assez rigoureux.
En effet, TechRate, la société à l’origine de l’audit, n’a pas spécialement d’historique solide. Pour preuve, le dernier audit en date est celui du protocole FireBull, dont le Twitter est bloqué pour « comportement inhabituel », de quoi mettre la puce à l’oreille.
Ainsi, ce rug pull fait l’effet d’un rappel douloureux aux investisseurs : tous les audits ne se valent pas. Alors que certaines entreprises, comme Certik, font office de référence sur la BSC, toute entreprise se vantant de réaliser des audits ne fournira pas pour autant une étude qualitative des smart contracts.
