Cryptomonnaies : tricher pour gagner des millions ? DeFi Kingdoms rongé par un bug horrible

Don’t trust, verify – La fin de semaine dernière fut particulièrement éprouvante sur le marché crypto. Bitcoin enchainait sa cinquième semaine de baisse, Solana était à l’arrêt total pendant plusieurs heures, et le metaverse des Bored Ape faisait littéralement exploser les frais sur la blockchain Ethereum. Bitcoin, Altcoin, NFT tout y était, ou presque… à ce tiercé perdant de mauvaises nouvelles est venu s’ajouter une faille majeure « découverte » dans le protocole du play-to-earn DeFi Kingdoms. Un « exploit » qui aurait été signalé par la communauté dès janvier dernier sur le serveur Discord du projet.

Peur sur le Royaume crypto

Lancé en septembre 2021 sur la blockchain Harmony, le play-to-earn DeFi Kingdoms (DFK) s’est imposé au fil des mois comme un prétendant très sérieux au trône dans ce secteur. Avec un pic à plus de 32 000 utilisateurs quotidiens en décembre, DFK se positionne comme l’un des principaux concurrents à Axie Infinity. Ce dernier a longtemps montré la voie dans le secteur, aussi bien en termes de volume journalier qu’en nombre de joueurs actifs. Développé sur Harmony, le jeu a été porté vers la blockchain Avalanche qui héberge DFK sur l’un de ses subnets dédiés, la DFK Chain.

Plus capitalisée et plus utilisée qu’Harmony, Avalanche offrait donc de belles perspectives au projet play-to-earn, de quoi ravir sa communauté actuelle et les premiers investisseurs. Mais depuis l’ouverture de Crystalvale (l’expansion vers Avalanche) le 30 mars dernier, l’économie DFKienne semble s’être effondrée. La pression vendeuse est constante.

Le token JEWEL enchaine les plus bas depuis l'expansion de DFK vers avalanche
Le dernier sommet, datant du 30 mars coïncide avec le lancement officiel de Defi Kingdoms sur Avalanche

« Buy the rumor, sell the news » – Jusque là rien d’anormal lorsqu’on a déjà suivi des lancements de projets et des effets d’annonces positives. Les acteurs du marché anticipent toujours la valeur future de l’actif, c’est pourquoi on parle souvent de « pricer » une nouvelle. En règle générale, une annonce stimule le cours, jusqu’au jour où cette annonce devient effective. Mais en attendant, le marché à déjà « pricé » la nouvelle. Ici le dernier sommet (11,52$) remonte au 30 mars, le jour du lancement de Crystalvale. Exemple typique d’un effet d’annonce puis de l’entrée en vigueur de cette annonce et leur impact sur les prix, diront certains.

Des pools de farmings pour « degens » y ouvrent en attendant que les NFT et les autres fonctionnalités déjà présentes dans la version 1 de DFK (Serendale) soient disponibles. Si le cours a connu un retracement puis un léger rebond après le 30 mars, ce fut le dernier. S’en sont suivies des semaines rouges, avec une pression vendeuse constante, mais sans raison apparente, pour le commun des mortels. La roadmap reste très intéressante et ambitieuse, avec une vision long terme. Le jeu s’est étendu sur une nouvelle chaîne, le JEWEL (cryptomonnaie de DFK) est désormais utilisé pour régler les frais de transactions sur le subnet Avax qui héberge Crystalvale. Ce qui revient à le « burn » et réduire sa masse en circulation.

La vue semblait dégagée, l’horizon net et le cap défini. Mais au regard du graphique, il était pourtant évident que quelque chose se tramait, que le fondamental n’était pas si joli que toute la communauté ne le pensait. C’est en fin de semaine dernière que la communauté en a appris plus.

Douche froide pour la communauté DeFi Kingdoms

Une faiblesse permettant de tirer parti de l’une des mécaniques du jeu est révélée au grand jour. Les heures avancent, la communauté se mobilise et scrute la blockchain. Petit à petit cela devient une évidence : il se passait bien quelque chose en coulisses. C’est sur Twitter que l’information a commencé à gagner de l’attention, grâce aux recherches et partages des utilisateurs assidus de DFK. Et notamment ces deux captures d’écran, qui ont mis le feu aux poudres.

tweet DFK exploit
Source

L’annonce fut rude : une faille présente depuis plusieurs mois était en fait exploitée, permettant aux esprits malins de détourner une grande partie des JEWEL minés chaque jour. Ces mêmes JEWEL qui sont aussitôt mis en vente sur le marché, créant au passage une très forte pression vendeuse.

Parmi les quêtes disponibles pour les héros (NFT dans le jeu) se trouve le minage de JEWEL. Envoyés en équipe, les héros récoltent le précieux token pour vous. Suivant le mineur leader et ses statistiques de minage (plus celles de ses comparses engagés dans la quête), les héros récoltent des JEWEL. Les récompenses sont aussi calculées en fonction du nombre de JEWEL verrouillés (via staking ou farming) que vous possédez. Ces tokens s’obtiennent principalement via les « jardins », qui sont en réalité les pools de farming. Or si ces « locked JEWEL » sont bel et bien verrouillés par le smart contract (jusqu’à la date prévue dans la documentation du projet) et donc invendables, ils étaient transférables de wallet à wallet

Frisky Fox, fondateur de Defi Kingdoms s’est exprimé sur le Discord officiel, via un message relayé ensuite sur le Medium du projet :

« Actuellement il y a un problème grâce auquel les rendements des JEWEL verrouillés via la quête de minage peuvent être injustement augmentés en transférant tous les JEWEL verrouillés entre plusieurs comptes, permettant à un nombre de héros plus important que prévu de miner des JEWEL verrouillés en même temps. »

Medium du projet DFK

Sans entrer dans les détails techniques et les mécaniques économiques du jeu, les plus malins (ou les plus informés…) ont tiré profit de cette faille en augmentant leurs rendements de façon très simple, permise par l’architecture des smart contracts du jeu.

Le Roi est mort, vive le Roi ?

Souvent louée pour sa réactivité et son travail quotidien (visible chaque semaine sur Serendale l’an passé), l’équipe de Defi Kingdoms est complètement passée à côté de ce (gros) trou dans la raquette. Et c’est un euphémisme, car l’histoire est peut-être encore plus sombre et triste pour les investisseurs de la première heure. Comme pour n’importe quelle personne ayant placé sa confiance (et ses sous) dans l’équipe de Frisky Fox.

Si vous avez lu attentivement la première photo sur le tweet ci-dessus, vous avez sûrement remarqué qu’un utilisateur affirme avoir découvert cette faille dès janvier dernier, soit il y a 4 mois… Or cette faille vient seulement d’être corrigée par l’équipe, alors qu’elle menaçait gravement le modèle économique du jeu, le rendant injuste pour la majorité des joueurs en plus d’envoyer le cours du JEWEL vers les abysses.

Mais plus on tire sur la bobine, plus on en découvre… Comme écrit sur les captures d’écran, la faille signalée en janvier, a été soumise à un vote de la communauté, pour décider ou non de conserver le mécanisme originel. Le vote fut sans appel, il fallait remédier à ce problème.

Proposition visant à corriger le problème
Proposition de vote au sein de la communauté Defi Kingdoms à propos des JEWEL verrouillés, tenu entre le 29 janvier et le 1er février. Source

Mais cette faiblesse ne fut jamais patchée, permettant à certains d’en profiter et mettant en péril le jeu entier.

Defi Kingdoms

Côté cours, ces annonces semblent avoir mis un terme à la folle pression vendeuse. En même temps après un -94% depuis l’ATH, il n’y a plus grand chose à vendre ! De plus, il y a désormais une explication concrète à disposition d’une grande partie de la communauté concernant le cours du JEWEL. Cela veut-il dire que le marché était en train de « pricer » cette faille ? Maintenant qu’elle est reconnue publiquement et patchée, le cours peut repartir à la hausse ?

Seule une boule de cristal pourrait nous l’annoncer. Les investisseurs ne supportant pas la chute brutale du prix du JEWEL ou ceux ayant perdu toute confiance dans l’équipe (ou les deux en même temps) sont face à un choix cornélien, partir ou rester en se demandant si le pire n’est pas derrière eux. Encore une fois ce genre d’événement rappelle à quel point il faut être prudent lorsqu’on manipule des cryptomonnaies et des rendements annuels supposés affichés à deux, trois… voire quatre chiffres.

La volatilité, les promesses de gains faciles en quelques clics sont légion, mais leurs promoteurs ne s’étendent jamais sur les risques encourus. Plus le rendement annoncé est fort, plus le risque que vous prenez est fort. De l’importance donc d’investir de l’argent dont on a pas besoin aujourd’hui et dont on aura pas besoin dans 6 mois, en cas de coups durs. Restez alertes, les pieds sur terre et « don’t trust, verify ».

Le projet DeFi Kingdoms jouit pour autant d’une forte cote de popularité et d’une communauté investie (pas seulement financièrement) qui croit dans le potentiel long terme du play-to-earn. Un vote a été organisé pour fixer le sort de Frisky Fox et ce dernier a été largement plébiscité, il restera donc à la tête du projet. En espérant que l’équipe retrouve la dynamique de fin d’année dernière, qui a permis au Royaume de détrôner Axie Infinity en termes de volumes journaliers début 2022.

Jeff Makvs

Enfant d’internet, j’essaie de me coucher chaque soir moins bête que la veille, notamment en observant la blockchain et ses acteurs. Je me réjouis de partager mes découvertes dans cet écosystème fascinant et avant-gardiste dès que j’en ai l’occasion : avant j’écrivais dans mon journal, maintenant j’écris dans le vôtre !