Enquête sur le memecoin BALD : l’identité du développeur de l’arnaque enfin découverte ?

Ah le mois d’août ! Le retour tant attendu des vacances, un marché tranquille qui permet de quitter les écrans pour profiter du beau temps, mais aussi un moment propice aux memecoin party.

Ce début de mois a été caractérisé par la performance dantesque à plusieurs millions de pourcents puis le rugpull à 20 millions de dollars du token BALD sur Base, le tout nouveau Layer 2 lancé par CoinBase. Beaucoup de mysticisme et de théories sont alors apparus quand nos chères archéologues de la data ont découvert que l’émetteur du token avait interagi par le passé avec un des wallets d’Alameda Research, la fameuse entreprise de trading lancée par Sam Bankman-Fried et tombée avec la chute de FTX.

La mèche allumée, il n’en fallut pas plus pour que Twitter commence à accuser Sam Bankman Fried (SBF), en prison à l’heure d’écrire ces quelques lignes, d’être derrière cette énième arnaque. Retour et complément d’enquête sur tous les événements de cette folle histoire qui ne manque pas de nous offrir des détails croustillants sur les potentielles implications de personnalités importantes de l’espace crypto.

Historique des évènements

De 500 dollars à plus d’un million en une nuit

L’histoire commence le 30 juillet avec un post qui résonne dans tous les recoins de X, cheatcoiner.eth, qui annonçait la veille avoir acheté le token $BALD quelques minutes après son déploiement, découvre à son réveil que ce dernier s’est littéralement envolé aux confins de l’univers pendant la nuit, le voici maintenant millionnaire.

Tweet de cheatcoiner.eth
https://twitter.com/cheatcoiner/status/1685600212851568640

Une belle histoire de moonboy comme on les aime, mais qui met déjà la puce à l’oreille de beaucoup de chercheurs indépendants, car contrairement à la majorité des shitcoins, le déployeur du token a déposé des centaines d’ETH pour supporter la pool de liquidité de LeetSwap. Alors que des millions commencent à traverser le bridge unidirectionnel d’Ethereum à Base pour participer à la fête, les premières découvertes commencent à arriver.

Inside trading de la part de CoinBase ?

Dans la même journée, quelques curieux commencent donc à éplucher le wallet du développeur du token et découvrent qu’il est détenteur de la majorité des cbETH, le token de Liquid Staking de Coinbase. Ceci vient directement alimenter les théories accusant des insiders de Coinbase d’en être à l’origine. Une stratégie présumée qui servirait à promouvoir leur nouveau Layer 2 en attirant de la liquidité, dès lors temporairement bloqué sur ce dernier, jusqu’à la mise en place d’un bridge vers Ethereum.

https://twitter.com/KuroXLB/status/1685476714099462149

Thèse qui sera en partie écartée le surlendemain grâce au Head of Research de Wintermute, qui a découvert que ce wallet n’avait pas minté directement les cbETH auprès de Coinbase, mais les avait achetés sur UniSwap.

Dans tous les cas, la puissance financière du développeur reste très suspecte, particulièrement sur son importance dans les volumes de trading et la gouvernance de plusieurs DEX et des dépôts depuis des CEX pour plusieurs centaines de millions de dollars.

https://twitter.com/FrankResearcher/status/1686184374222438400

>> Vous préférez garder vos cryptos à l’abri ? Choisissez un portefeuille Ledger (lien commercial) <<

Moins de 48 heures après son lancement, l’émetteur du Token vide la pool de liquidité

Le FUD montrant le bout de son nez dans les journées du 30 et du 31 juillet, après avoir simulé de gros achats sur le token, le développeur a retiré toute la liquidité initialement apportée, résultant d’un gain de plus de 3 000 ETH, soit environ 6 millions de dollars.

Ce dernier se défendra dans un tweet, clamant qu’il n’a vendu aucun token, avant de se faire rattraper par un utilisateur lui rappelant que techniquement, lorsque le prix monte, les tokens BALD sont vendus pour de l’ETH. Tweet auquel il répondra un bref « correct », à l’instar d’un célèbre antagoniste bien connu de nos contrées, SBF.

Réponse  du compte Twitter BALD, elle présente des similitudes avec le style de SBF.
https://twitter.com/BaldBaseBald/status/1685998514839470081?s=20

Le déployeur du token irrémédiablement lié à Alameda Research, mais pas que…

Par la découverte de comptes de dépôts communs auprès de nombreux exchanges centralisés, les analystes trouveront par la suite plusieurs autres portefeuilles indubitablement liés au développeur. C’est par ce biais qu’on découvrira un compte siégeant par le passé à la place de top traders sur le protocole DYDX v3, puis un second qui s’avère être un des plus anciens participants à la gouvernance de SushiSwap. Plus curieux encore, Alameda Research semble être directement liée à ces derniers ainsi qu’Andew Keys, ex-Head of Business Development chez Consensys.

Nombreux sont les portefeuilles qui semblent liés au BALD
https://twitter.com/Blockanalia/status/1686133232633352192

Et puisque Alameda ne cessera de nous surprendre, bien qu’elle n’apparaisse pas dans le rapport de Nansen sur le depeg de l’UST, l’adresse 0x000F7 semble bien avoir participé à son déclenchement avec plusieurs dizaines de millions de dollars de volume, via notamment des opérations d’arbitrage entre Curve, Binance et FTX.

L'adresse semble aussi avoir participé au depeg de l'UST
https://twitter.com/CryptoBran_/status/1686134260694974464

Et si l’on se trompait de Sam ?

Ni une, ni deux, Twitter, ou plutôt X, s’enflamme comme si Thanos venait de passer le portail du multiverse. « SBF is back » lit-on sur le CT anglophone. S’ensuit une chasse au trésor afin de trouver tous les petits détails qui trahirait sa personnalité, et même si cela semble farfelu, il est vrai que leur accumulation commence à poser de sérieux doutes sur l’identité du développeur.

https://twitter.com/hype_eth/status/1686124409289895936

Aussi, il n’a pas fallu longtemps à nos détectives pour faire le lien avec un ancien tweet de ZackXBT qui annonçait que l’ancien compte de Serum, un DEX Solana créé par FTX et Alameda, avait été renommé en « 0xLukaEth » quelques mois après leur chute. Compte qui, bien sûr, s’est donné à cœur joie pour promouvoir le token $BALD dès son lancement !

Zach XBT a aussi mené l'enquête
https://twitter.com/zachxbt/status/1649116171726393344

Mais pour Igor Igamberdiev, déjà cité plus haut, croire que SBF soit derrière cette sombre histoire serait une conclusion trop facile. D’après son analyse temporelle de l’activité des comptes reliés au développeur du token, Sam Trabucco lui parait un bien meilleur candidat.

Leurs activités correspondraient assez précisément à sa décision de quitter son poste de co-CEO. Il remarque aussi des timings très corrélés avec des annonces de Trabucco, et l’activité du wallet lié à Alameda, notamment sur leur implication dans Stargate Finance.

https://twitter.com/FrankResearcher/status/1686184387040202752?s=20

>> La sécurité, c’est la base ! Pour conserver vos cryptos près de vous, faites confiance à Ledger (lien commercial) <<

Après les théories, les vrais réponses

Et c’est peu dire, mais pourtant si on pourrait penser avoir fait le tour, je vous assure que cette histoire est loin de s’arrêter ici. La recherche on-chain étant une de mes spécialités, bien que me cantonnant le plus souvent à ma propre blockchain de coeur, j’ai décidé d’outrepasser ses frontières pour vous apporter, je l’espère, le fin mot de l’histoire. C’est ici que nous quittons le constat, pour nous plonger au cœur de l’investigation.

Cheatcoiner.eth, pseudo justement porté ?

C’est le premier point qui m’a fait tiquer, son histoire paraissant bien plus tenir de l’inside trading qu’un coup de pouce de la volonté cosmique. Il annonçait fièrement avoir acheté environ 500 USD de $BALD en dessous de $50,000 de market cap, et pourtant aucun achat ne semble correspondre.

https://dexscreener.com/base/0xe96df8f5ef1a8790415068c798765b07d57643bd?__cf_chl_tk=lqZ4N6CzzkWByqdIVdD6X0s0HkSUDyGFsXbkgHzRTdk-1691815474-0-gaNycGzNDiU

D’ailleurs, son Ethereum Name Service, dont il a prouvé la détention, ne montre aucun bridge vers Base à cette date, ni les comptes qui lui sont liés. Notre cher influenceur en « cheat »coin n’ayant bridgé des fonds que bien après le rugpull terminé, dans la journée du 4 août. Aussi, aucun lien ne pouvant l’affilier de près ou de loin au développeur du token montre le bout de son nez en épluchant son wallet.

En revanche, les notes de la communauté X (aka la meilleure feature jamais développée sur un réseau social) nous apprendra que son compte, fraîchement renommé, porte les stigmates d’un ancien scammer qui œuvrait sur Solana. Allégation qu’il niera, disant simplement que le compte a été acheté. Alors tout était dans le nom ? Pas si sûr.

https://twitter.com/itsadvena/status/1685989215820210177

Quid des potentiels insiders ayant acheté seulement quelques minutes après le déploiement du token ?

Breadscrumb ou tout autre outil d’analyse de données n’étant pas encore implémenté sur Base, j’ai mené l’enquête de mon côté grâce aux deux meilleurs amis du data analyste en herbe, Python et l’API public ! C’est à ce moment-là que j’ai commencé à douter de l’analyse sommaire présentée ci-dessus, un énième exemple que les données on-chain, peuvent facilement nous biaiser lorsqu’elles sont incomplètes.

https://basescan.org/address/0x70a122baf643f9e729de48c7589610e745238560
Les comptes représenté en rouge ont tous acheté du Bald avant la fameuse limite des 50k de Market Cap

En réalité, si l’on croise les données de tous les acheteurs en dessous de cinquante mille dollars de capitalisation boursière, on découvre des achats partitionnés de 615 dollars puis des fonds re-centralisés une fois les tokens vendus ! Ce qui pourrait coller avec le narratif de Cheatcoiner.eth. Si c’est réellement lui, il nous a laissé quelques traces, voire peut-être un nom via son adresse du côté d’Ethereum.

Mais je garde cette partie en réserve, ne pouvant relier ce dernier qu’à un compte X protégé et ne pouvant pas être lié à l’espace crypto au vu du peu d’information que l’on peut trouver. Passons plutôt au noyau dur du sujet. 

Alors, SBF ou pas SBF ?

Accrochez vos ceintures, car il y a beaucoup de choses à dire ! (N’hésitez pas à ouvrir sur une deuxième fenêtre le graphe pour une meilleure visibilité via le lien en légende)

https://www.breadcrumbs.app/reports/7777

Première chose à noter, ce sont les deux pivots centraux du graphique, soit le compte « Bald Deployer » et « Bald 2 ». Ces derniers comme précédemment évoqué partagent (au moins) trois comptes de dépôt sur CEX. Deux sur FTX et un sur Binance, ce qui ne fait aucun doute sur leurs appartenances communes. Le compte labellisé « Bald2«  à reçu par plusieurs fois des fonds d’Alameda, avec qui il partage lui aussi deux autres comptes de dépôt chez Huobi et FTX

Ensuite, fait très surprenant dont je n’ai vu aucune mention nulle part pour l’instant, le compte « FTX Deposit 2 » semble avoir été alimenté par Richard Heart, le CEO du token $HEX et sa blockchain PulseChain, contre lequel la SEC à porté plainte très récemment. Mais aussi 69secrets.eth, adresse reliée à Mirana Ventures, un fonds d’investissement gravement touché par la chute de Three Arrows Capital, et antagoniste connu pour certains rugpulls et drama les plus médiatisés ces dernières années, comme le révèle Nansen. Quasiment un million d’ETH envoyés uniquement par quatre adresses sont passés à travers un smart-contract, avant d’arriver dans le fameux wallet de dépôt FTX, dont le fonctionnement laisse penser à un simple relayeur. À savoir que lorsqu’il reçoit une transaction, le montant identique est directement envoyé auprès d’une autre adresse. 

Malgré cela, la précaution reste de mise, même si les erreurs d’interprétation semblent faibles. À noter aussi que la douzaine de comptes affichés ne représente qu’une infime partie des fonds transférés par ce smart-contract, qui compte plusieurs centaines d’adresses de sortie. Il reste cependant minoritaire dans la totalité du volume reçu par le compte « FTX Deposit 2 », dont la majeure partie provient d’échangeurs centralisés et des deux comptes du développeur du $BALD

Tout à droite maintenant, on peut apercevoir le compte labellisé « Aaron Henshaw Funded », qui n’est autre que le Head of Engineering de Coinbase Cloud ayant initialement envoyé des fonds à cette adresse et donc probablement créateur du wallet. Suivie, ensuite (dans l’ordre chronologique) de Nanexcool.eth, le Head of Smart-Contract de MakerDAOShiv Malik, CEO de Pool Data, une adresse liées à Helena « @helsfoftroy », Co-Fondatrice d’ETH Berlin et d’autres personnes à priori plus ou moins connu en anonyme sur X.

Shiv Malik : https://etherscan.io/address/0x5c4b2dbb3f9773186a14a5736c5b13705f0c4c4d#nfttransfers
https://twitter.com/shivmalik/status/1093915180692574210?s=20

Aaron Henshaw ; https://etherscan.io/tx/0xe1efba5f0ffaa3f69d70184105e7b73bf5de1cde8d0eee6453c6e52d15a95b93
https://www.tx.cool/chat/0x16884a4c09185f81440ad6cc8b8850f6871fb5fd/0x93f3b551b8e15a397bcce3494a15c2f26e6f4582

Helena « @helsfoftroy » : https://etherscan.io/address/0xaa97ee23397ee6f3d00f72f458cc81d9248abcd1

Ça en fait du beau monde !

Le compte « Bald2 » enverra régulièrement des ETH à cette adresse, et même avec un petit « GM » caché dans les données de transaction. Attention, aucune accusation ne peuvent être faites à l’encontre des personnes identifiés ci-dessus avec ces seules informations, en revanche, elles pourraient être en mesure de données plus d’information sur la nature du compte 0x000f7, lié à Alameda.  

On peut aussi remarquer une transaction envoyée en mars au déployeur de « Cat in a box » un protocole de lending où il est impliqué financièrement, pourtant leur compte X avait affirmé n’avoir aucun lien avec lui après les accusations d’Igor Igamberdiev, certes basé uniquement sur des mentions sur le réseaux social. Il semble donc avoir un lien plus étroit que ce qu’il annonce.

https://twitter.com/catinaboxfi/status/1687158919246856197


Enfin, la partie qui va nous intéresser le plus est l’adresse « Milkyway16.eth » qui partage un compte de dépôt Coinbase avec un des déposants de « FTX Deposit 2 », ce qui dévoile un lien direct entre le développeur et cette adresse. D’autres éléments viennent appuyer cette thèse, comme les transactions vers Parsec Finance, un outil on-chain qui semble correspondre à un renouvellement d’abonnement à des dates différentes et complémentaires. Ainsi que deux paiements aux montants identiques à l’artiste NFT Veenyard.eth à des dates très proches en commun avec le compte « DYDX Top Farmer »

Et puis, bingo ! Peu après, un compte X nous révèle avoir réalisé un pari avec MilkyWay16.eth, dont le paiement avait été réalisé avec le compte « DYDX Top Trader » comme le souligne ZackXBT dans ce tweet. (Petite amertume de ne pas avoir eu la primauté de la découverte, je l’avoue ^^)

Échec et Mat.

Bald Deployer = MilkyWay16.eth

https://twitter.com/zachxbt/status/1687127828234469376

La chasse à l’homme

Depuis cette révélation, bien que restée plutôt discrète sur l’espace francophone, une vraie chasse à l’homme a commencé pour trouver l’identité de MilkyWay16.eth. Une bonne occasion de se mettre à l’OSINT, dont malheureusement, je ne pourrais vous montrer tous les résultats pour des raisons évidentes. L’investigation est une pratique captivante, mais ce n’est pas pour autant que notre espace doit devenir un tribunal public qui pourrait se révéler dangereux. 

Sachez seulement que quelques-uns d’entre nous ont son nom, sa nationalité, des noms de gens avec qui il a travaillé, et bien qu’ils semblent proches de beaucoup de personnalités crypto et Twitter, à ma connaissance, sa réelle identité ainsi que ses potentiels liens avec Alameda ou FTX restent encore introuvables. Il ne semble donc pas être quelqu’un de connu publiquement autrement que part son compte X, MilkyWay16eth, mais plutôt un acteur ayant toujours agi plus ou moins dans l’ombre. 

L’ambiance de mon côté depuis une semaine.

Néanmoins, le mind mapping intensif m’a permis de trouver bien d’autres informations qui sont intéressantes à révéler du côté crypto. Notamment un message public directement échangé avec SBF, sur le portefeuille où ce dernier avait récupéré la propriété des smarts-contracts de SushiSwap.

https://twitter.com/SBF_FTX/status/1302501004118695936
https://www.tx.cool/chat/0x000f7f22bfc28d940d4b68e13213ab17cf107790/0xd57581d9e42e9032e6f60422fa619b4a4574ba79

Mais aussi des anciennes discussions Twitter entre Sam Trabucco et Milkyway16eth, nous révélant un ancien pseudo, « vallard14 », porte d’entrée vers son identité.

https://caroline.milkyeggs.com/twitter/alamedatrabucco

Et un petit dernier pour la route, un message envoyé au wallet ayant drainé les comptes de FTX en novembre juste après le crash de l’empire SBF, message envoyé seulement quarante minutes après que les premières transactions de drainage ont commencé, révélant une personne donc très bien informée ! 

https://etherscan.io/tx/0x3013ae0c3acdb37bfb83221e00162bcf51b006bd3beb0ed2683de5f44ae72451

Pendant ce temps la…

Alors que les cerveaux tournaient à plein régime pour trouver les recoins les plus sombres de cette histoire qui j’en suis sûr, n’as pas toujours pas fini de nous surprendre, le déployeur de Bald, après avoir volé des millions de dollars, poste le tweet suivant. 

https://twitter.com/BaldBaseBald/status/1686487215155666944

Il semble ne pas avoir envie d’arrêter l’aventure, et attend un DEX de bonne réputation pour relancer la pool de liquidité qui s’était, quelques heures auparavant, arrêté du côté de LeetSwap suite à de potentielles failles pour les mêmes raisons que le hack des pools de Curve. Scammer un jour, scammer toujours me direz-vous, mais le plus inattendu reste la réponse de SushiSwap, DEUX minutes plus tard, pour finir d’achever les plus crédules du fond de la classe.

Ce qui n’est pas sans rappeler les plus anciens déboires de Chef Nomi, le développeur originel du protocole qui avait légué les clés du restaurant japonais à SBF, après avoir utilisé des techniques plus que semblables au rugpull dont il est question aujourd’hui. Chef Nomi qui d’ailleurs était déjà sujet à toutes les théories, certains pensant que SBF et lui ne faisait en réalité qu’un, théorie d’ailleurs relayée par nos confrères de CoinBureau à l’époque.

Satoshi, rentrons, il commence à pleuvoir

Si nous savions déjà que notre espace était vérolé par des acteurs douteux, cette histoire nous montre que la réalité est peut-être encore pire. Qu’ils soient malveillants autant que faussement ou réellement bienveillants, beaucoup semblent se complaire dans la médiocrité des autres et que tous se côtoient, sans dire un mot, alors qu’ils sont probablement au courant de leurs agissements néfastes pour tout l’écosystème. Mais c’est probablement à voir d’un bon œil après tout, si notre écosystème est encore aussi immature, c’est que la technologie est loin d’arriver à son plein potentiel, ce qui nous laissera avec de la chance encore un ou deux Bull Run devant nous le temps d’éliminer le mauvais grain.

Toujours avide d’autodérision, on continuera probablement à se répéter un de nos autres mantras préférés, « on mérite vraiment ce bear market », avec l’espérance que le temps, finira par résoudre de lui-même ces anomalies encore trop nombreuses. Je reste cependant convaincu que notre crypto-verse ne se nettoiera pas de lui-même, et qu’il est grand temps de partir en guerre, avec pour seule arme, la donnée. 

En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !

xFoudres

Étudiant avorté en astrophysique, je suis tombé amoureux de la blockchain, sa technologie et sa philosophie en 2020. Tantôt détective on-chain, tantôt vulgarisateur, j'arpente la matrice du métavers à la vitesse de la lumière en essayant de partager cette passion au son de mon tonnerre.