Soft rug – La nouvelle arnaque en vogue dans la DeFi ?

Sans vouloir sombrer dans la parano, les risques sont omniprésents dans le domaine des cryptomonnaies. Un fait qui augmente en rapport à la distance qui sépare chaque placement de l’univers de la DeFi. Car c’est bien cette finance décentralisée en pleine expansion qui centralise la grande majorité des attaques et détournements de fonds actuels. Cela avec comme dernier terrain de jeu le « putain de bordel » de la Binance Smart Chain (BSC) et plus récemment le réseau Polygon. Car les amateurs de vol de cryptomonnaies sont évidemment multichains !

Un constat qui se comptabilise en dizaines de millions de dollars envolés. Et qui semble actuellement se déplacer d’une version externe de type attaque flashloan à quelque chose de plus difficile à identifier. Une réalité que la chute actuelle des marchés ne va pas permettre de faire ralentir. Car il s’agit de ce que l’on pourrait définir comme des sabordages volontaires. Une procédure qui répond dorénavant au nom de « soft rug » en relation aux maintenant célèbres rug pull devenus (crypto)monnaie courante. Mais dans une version plus… vicieuse.

De rug pull à soft rug

Pour ceux qui n’ont pas encore la chance de connaître, un rug pull est ce que l’on peut traduire par un « tirage de tapis ». C’est-à-dire le départ précipité et inattendu des membres fondateurs d’un projet. Mais sans oublier auparavant de prendre la caisse sous le bras avant de claquer définitivement la porte. Ce qui dans la plupart des cas représente la quasi-totalité des fonds impliqués dans le protocole concerné, sans oublier bien sûr ceux de leurs investisseurs confiants. Une technique dont l’un des derniers « succès » a été le projet Meerkat Finance de la BSC et ses 31 millions de dollars détournés. Mais cela n’est qu’un exemple parmi tant d’autres…

La plupart du temps, ces rug pulls interviennent au moment du lancement du projet. Et en respectant cette procédure éprouvée qui consiste à tirer le rideau de tous les réseaux sociaux qui y sont officiellement affiliés. Une fermeture brutale qui ne laisse aucune chance aux victimes. Et dont le seul recours consiste bien souvent à constater qu’une adresse de portefeuille détient la totalité des « pertes » concernées. Et qu’il n’existe pas de moyen permettant de les récupérer.

Mais depuis peu, une autre manière de flouer ses investisseurs semble se mettre en place. Elle porte le nom plus engageant, mais néanmoins trompeur de soft rug. Car cette douceur moelleuse (soft) annoncée ne concerne pas les pertes des investisseurs du projet. Mais bien plus le caractère sournois et malicieux de ce qui ressemble tout simplement à des rats qui quittent un navire avant qu’il ne coule. Mais avec le regard baissé de quelqu’un qui sait ce qu’il fait sans pour autant l’annoncer clairement.

La nouvelle mode des soft rug

Une manière de faire qui a été identifiée ou nommée depuis peu. Et dont l’un des exemples les plus frappants semble être la récente affaire du projet Polywhale Finance développé sur le réseau Polygon (MATIC). Une offre de Yield Farming comme il en existe tant d’autres. Et dont le jeton KRILL a enregistré des sommets en s’envolant à presque 240$ en seulement quelques jours. Ce qui n’avait rien de surprenant au plus fort de la récente hausse généralisée du marché. Mais pour ensuite s’effondrer alors que le reste des cryptomonnaies n’avaient pas encore atteints leurs ATH respectifs.

Une baisse vertigineuse qui a dû faire très mal à ses investisseurs. Mais c’était sans compter sur ce qui allait suivre. Car en ce début de semaine, les membres de l’équipe ont annoncé leur intention d’abandonner le projet et de « l’offrir à sa communauté » pour lui « laisser une dernière chance ». Mais en s’assurant visiblement de la rendre très difficile. Car dans le même temps, des utilisateurs ont décelé des mouvements de fonds importants en provenance de son portefeuille de trésorerie.

« C’est le portefeuille du Trésor, et il était à 5 millions le 9 juin. Ce matin, un membre du groupe nommé SK a souligné qu’il était descendu à 1,6 million. Ses messages ont été supprimés et il a été banni du chat. Cela m’a rendu très méfiant et j’ai commencé à regarder le portefeuille comme un faucon. À 12 h UTC, ce portefeuille contient maintenant environ 200 000 $, dont 1,4 million sont transférés vers le portefeuille des développeurs. »

Des données publiées sur le groupe Telegram qui rassemble les investisseurs victimes de cette affaire. Mais qui n’empêche visiblement pas le projet de conserver une communauté encore motivée à relever le défi lancé par ses fondateurs démissionnaires. Car une annonce publiée aujourd’hui même sur le Telegram officiel de Polywhale semble indiquer qu’une « nouvelle équipe travaille sans relâche (…) afin d’améliorer le fonctionnement du projet. » Et c’est là toute la difficulté que représente l’identification de ces soft rugs !

Une identification très difficile

Car la véritable différence entre un rug pull et un soft rug concerne la prise en compte des sommes investit dans le projet concerné. Et dans le second cas, ils ne souffrent que de la chute éventuelle que cette actualité peut avoir sur le cours de sa cryptomonnaies. Car un soft rug n’implique pas le vol des placements de ses utilisateurs. Mais uniquement une sorte d’abandon du projet par son équipe. Mais qui s’accompagne tout de même du détournement de tout ou partie des fonds communautaires destinés à son développement.

Une procédure dont vient d’être récemment accusé le projet Venus (XVS) qui opère sur la Binance Smart Chain. Une actualité révélée par le site The Defiant qui explique comment ces procédures sont « pratiques » pour les développeurs peu scrupuleux « car elles ne nécessitent pas de hack ».  Et dans le cas présent cela concerne une déclaration de l’équipe de développement du nom de Swipe à l’origine de ce protocole. Cette dernière affirmant se retirer du projet suite à la récente chute du marché. Il n’en fallait pas plus…

Un abandon qui a soulevé de nombreux questionnements au sujet de la gestion des jetons communautaires en leur possession. Et d’une possible tentative de soft rug de la part de Swipe. Allégations auxquelles le nouveau responsable officiel du projet Venus a apporté un démenti formel. Cela en affirmant que ces fonds ont été remis à la communauté avant leur démission, car « ils n’étaient pas à eux au départ ». Ce qui est très exactement la bonne réponse !

Il semble donc que la période actuelle soit à la méfiance dans l’univers des cryptomonnaies. Cela sur fond d’un marché baissier qui a fortement exacerbé les tensions, là où résidait il y a peu une véritable euphorie spéculative. Ce qui pousse bon nombre de développeurs de projets à envisager de sauver le peu qui reste. Et leurs investisseurs à surveiller que ce « reste » ne soit pas constitué de fonds qui ne leur appartiennent pas. Ce qui promet une belle pluie d’accusations à venir, entre véritable soft rug et colère revancharde d’investisseurs mécontents d’avoir à assumer leurs pertes.