Le smart contract de FairWin, un jeu de hasard construit sur Ethereum accusé d’être une arnaque, vient d’être vidé de ses fonds. Ce sont environ 50 000 ETH qui se sont envolés, sans qu’il soit possible pour l’heure d’identifier précisément les auteurs de ces retraits massifs.
FairWin, synonyme de Ponzi ?
FairWin est une plateforme de jeu de hasard construit sur le réseau Ethereum. Jusqu’à aujourd’hui, elle était de loin l’application la plus utilisée sur le réseau avec 3200 utilisateurs quotidiens et représentait 60 % de l’utilisation de gas sur le réseau.
Ces données n’ont cependant rien de vraiment surprenant, puisque cela fait bien longtemps que l’on sait que les jeux de hasard sont un des cas d’usage les plus usités au sein de la cryptosphère.
Imagine watching this video and then thinking it's a good idea to put some money in this pyramid scheme. And yet, there are tons of people like that pic.twitter.com/iykS4jv4bL
— Larry Cermak (@lawmaster) September 29, 2019
Pour autant, cette apparente popularité ne doit pas vous éblouir : FairWin éveillait déjà les soupçons d’une partie de la communauté à son lancement, et sa croissance exponentielle n’a fait que braquer un projecteur plus puissant sur lui.
Un vrai gruyère
C’est d’abord le développeur Philippe Castonguay qui tirait récemment la sonnette d’alarme à propos du jeu. Il disait avoir découvert que le smart contract contenait “des vulnérabilités critiques mettant tous les fonds en danger”.
Ainsi, les trois failles présentées permettaient :
- Au propriétaire du contrat de retirer l’ensemble des fonds,
- Au propriétaire de bloquer les retraits des utilisateurs,
- À un hacker dégourdi de voler les dépôts.
Le même développeur pointait également du doigt les dividendes anomales offerts aux utilisateurs qui déposaient des ETH sur la plateforme. En d’autres termes, il accusait la plateforme d’être un Ponzi (une arnaque pyramidale), où les dividendes seraient payés grâce aux fonds des nouveaux arrivants.
Volatilité volatilisée
Le 26 septembre, le smart contract de FairWin détenait encore presque 50 000 ETH. Mais, comme bien souvent, l’histoire a mal fini : le smart contract a été vidé de ses fonds intégralement dans la nuit.
Les fonds ont apparemment été envoyés vers une multitude d’adresses différentes, ce qui rendra la traque des fonds plus compliquée, mais surtout qui peut questionner sur l’identité du responsable de ce retrait massif.
Le retrait pourrait être du fait du (ou des) propriétaire(s) du smart contract, ou encore d’un attaquant ayant exploité une faille. Pour part, il est également possible que certains utilisateurs aient retiré leurs fonds dans la panique suite aux découvertes exposées ci-dessus et à leur couverture médiatique sur la toile.
