Le vampire de la cryptomonnaie ? Les (vilains) drapeaux rouges du projet SushiSwap
La pluie, le beau temps, tout ça – Le protocole Sushiswap a dépassé 1,5 million de dollars dans ses liquidity pools. Cependant, malgré l’engouement autour du protocole, un premier audit technique soulève certaines interrogations légitimes.
SushiSwap, le vampire d’Uniswap ?
SushiSwap est un protocole d’échanges décentralisés lancé en fin août. Il est issu d’un fork d’Uniswap, auquel un jeton de gouvernance (le SUSHI) a été ajouté. Ainsi, ce nouveau jeton est distribué aux fournisseurs de liquidités par le biais du liquidity mining.
« En reprenant l’élégant design de base d’Uniswap, nous avons ajouté des fonctionnalités communautaires qui, selon nous, contribuent à améliorer la conception du protocole, ainsi qu’à fournir des avantages supplémentaires aux acteurs concernés. », Annonce de Sushswap sur Medium.
En l’espace de quelques jours, le protocole a réussi à réunir la somme colossale d’1,5 milliard de dollars dans ses pools de liquidités, talonnant de près Uniswap et ses 2 milliards d’actifs déposés.
Un premier audit mitigé
Jusqu’à présent, le principal point noir de ce projet résidait dans l’absence d’audit de l’ensemble des smart contracts. Difficile donc d’être certain qu’aucune vulnérabilité ne se cachait au sein de ses lignes de code. Ce point semble à présent être résolu, suite à un audit mené par l’entreprise Quantstamp. Malheureusement, les résultats de cette analyse poussée semblent assez décevants.
Ainsi, bien qu’aucune faille critique n’ait été découverte, Quantstamp a tout de même identifié 2 risques classés comme modérément sévères, 3 risques faibles et 5 problèmes liés au code.
Parmi les problèmes majeurs identifiés, les spécialistes de Quantstamp signalent la possibilité d’ajouter plusieurs fois un même jeton (créant de facto une nouvelle pool de liquidités identique à chaque fois), ce qui pourrait impacter le calcul des récompenses. De manière tout aussi préoccupante, il semblerait qu’une faille permette le retrait des fonds sous séquestre, si la clé privée du propriétaire du smart contract venait à être compromise.
L’audit permet donc d’informer le public sur les manques et les faiblesses de SushiSwap en l’état… et d’investir (ou non) en toute connaissance de cause.
27 millions de dollars en péril ?
D’autres chercheurs, comme Adam Cochran, ont identifié des failles supplémentaires. En effet, le développeur anonyme principal de SushiSwap détiendrait l’équivalent de 27 millions de dollars en jeton SUSHI, sans qu’aucun contrôle sur ces fonds ne soit prévu.
« Si vous avez mis la main sur un magot de 27 millions de dollars devant servir au développement de votre projet, que vous êtes anonyme, que vous êtes le seul maître à bord… et que malgré cela vous pensez que partager le contrôle de ces fonds n’est pas une priorité – c’est un drapeau rouge. », Publication Adam Cochran sur Twitter
1/18
Around 24 hours ago I noted that @SushiSwap has $27M worth of $SUSHI tokens in the dev wallet with no timelock or controls. Tons of people asked about it and Cointelegraph covered it.
After not addressing it for a while the lead dev finally said:
It's "not his priority" pic.twitter.com/bVaCqLx6aa
— Adam Cochran (adamscochran.eth) (@adamscochran) September 2, 2020
Pour rappel, le projet SushiSwap a été initié par un développeur anonyme. De ce fait, certains commentateurs craignent que ce dernier puisse tout bonnement disposer seul de ce véritable trésor de guerre.
Interrogé à ce sujet par de nombreux internautes, le fondateur a déclaré vouloir transférer le contrôle de ces fonds à une gouvernance plus distribuée, mais pas dans l’immédiat. Affaire à suivre.