Exit scam de Kokomo (KOKO) : 4 millions de dollars en cryptos extorqués

Après le resto-basket, la crypto-basket – Si la finance décentralisée (DeFi) est une innovation révolutionnaire, elle est malheureusement aussi exploitée par les arnaqueurs. En effet, des escrocs montent de faux projets, puis partent avec la caisse sans laisser d’adresse, c’est ce qu’on appelle un « exit scam ». Cette fois, c’est la (manifestement fausse) équipe de Kokomo (KOKO) qui semble avoir escroqué ses utilisateurs.

À peine arrivé, le (faux) projet Kokomo Finance disparait soudainement

Basé sur la blockchain Optimism (OP), les équipes de Kokomo présentaient leur « projet » comme un service de lending (prêts/rendements). Ce service, Kokomo Finance, venait à peine d’être lancé ce samedi 25 mars 2023.

Mais dans la nuit de ce dimanche à lundi, une première alerte est venue de la société de cybersécurité CertiK, via son compte Twitter. Le token du projet, le KOKO, a mortellement chuté de plus de 95 % alors que tous les comptes de réseaux sociaux étaient supprimés. L’alerte au possible exit scam était lancée.

Les arnaqueurs de Kokomo partent avec la caisse, le token KOKO retourne à zéro.
Le token KOKO de Kokomo s’effondre soudainement – Compte Twitter @CertiKAlert

Les escrocs ont exploité les Wrapped Bitcoin pour voler leurs utilisateurs

Peu après, dans les premières heures de ce lundi 27 mars, les experts en cybersécurité de CertiK ont confirmé l’exit scam et détaillé le mode opératoire des arnaqueurs de Kokomo. Pour faire leur sale coup, ces derniers ont exploité les Wrapped Bitcoin (WBTC) de Sonne. Le principe des bitcoins « wrappés », c’est que des bitcoins (BTC) sont bloqués sur leur blockchain originel, pour être transposés sur une autre blockchain, ici Optimism.

« 1/ L’émetteur du token KOKO, à l’adresse 0x41BE…, a déployé le contrat d’attaque cBTC. Il a ensuite réglé la vitesse de récompense, mis en pause l’emprunt et transformé le contrat d’exécution en contrat malveillant.
2/ L’adresse 0x5a2d… a approuvé le contrat cBTC pour dépenser les 7010 sonne WBTC.
3/ Puisque le contrat d’exécution a été transformé vers le contrat cBTC malveillant, l’attaquant a appelé la procédure 0x804edaad pour transférer les WBTC de Sonne à l’adresse 0x5C8d…
4/ Finalement, l’adresse 0x5C8d… a échangé 7010 WBTC Sonne contre 141 WBTC (environ 4 millions de dollars) pour leur profit. »

Les escrocs de Kokomo utilisent des Wrapped Bitcoin pour siphonner les cryptos de leurs utilisateurs.
CertiK nous détaille le modus operandi des scammers – Compte Twitter @CertiKAlert

Les scams comme Kokomo ne sont malheureusement pas rares, car l’enthousiasme des crypto-investisseurs est grand, et les escrocs savent parfaitement l’exploiter. Il est très risqué de se précipiter sur un nouveau protocole DeFi fraîchement sorti, surtout si de multiples audits du code de son smart contract n’ont pas été effectués avec diligence. D’ailleurs des arnaques similaires sont en train de se développer pour profiter de l’engouement sur les IA (intelligences artificielles), alors méfiance !

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.