Un tapis de la chaîne BNB escroque les utilisateurs de 2 millions de dollars (11 millions de dollars aux prix BNB actuels). Les utilisateurs demandent de l’aide à Binance. Binance dit avoir gelé les fonds mais se rétracte ensuite. Les fonds sont restés à l’adresse pendant près de deux ans lorsque Binance a soudainement pris des mesures pour geler le portefeuille de l’escroc, qui atteignait 10,8 millions de dollars. Auparavant, Binance avait déclaré qu’elle ne pouvait pas geler les portefeuilles en dehors des adresses d’échange en raison de la nature décentralisée de BNB Chain. Les utilisateurs sont mécontents et demandent à Binance d’en faire plus. C’est l’histoire de l’arnaque PopcornSwap.
Le 28 janvier 2021, la bourse décentralisée PopcornSwap sur la chaîne Build N Build (BNB) a exécuté une arnaque à la sortie, volant plus de 2 millions de dollars d’actifs de fournisseurs de liquidité via une fonction « pré-mise à niveau » peu connue contenue dans le contrat intelligent de la bourse. Les utilisateurs espéraient que Binance, le créateur de BNB Chain, serait en mesure de geler l’adresse des fraudeurs. Depuis lors, la valeur du BNB détenu sur le compte du fraudeur a atteint plus de 10 millions de dollars, les utilisateurs spéculant sur le gel ou non des fonds.
Une enquête révèle que contrairement à la croyance populaire, Binance est en fait capable de geler les adresses de portefeuille privées sur BNB Chain, à condition que tous les validateurs y consentent. Bien que l’adresse de l’attaquant ait finalement été gelée par Binance, cette action a eu lieu près de deux ans après l’arnaque. Au cours des deux années qui ont suivi, l’attaquant a volontairement conservé les fonds sur le compte d’origine et ne les a pas déplacés.
Le tapis PopcornSwap
En 2021, PopcornSwap est devenu l’un des premiers échanges décentralisés sur la nouvelle Binance Smart Chain (BSC), qui a ensuite été rebaptisée « BNB Smart Chain ». Certains utilisateurs du réseau ont afflué vers PopcornSwap pour déposer des liquidités, dans l’espoir de profiter des volumes de transactions élevés qu’ils espéraient se matérialiser sur BSC. Mais au lieu d’obtenir les rendements records auxquels ils s’attendaient, ils ont perdu tous les fonds qu’ils avaient déposés. PopcornSwap était un fork de Pancakeswap, qui était lui-même un fork de Sushiswap sur Ethereum. Et il se trouve que Sushiswap contenait une fonction « preUpgrade » qui permettait aux développeurs de s’approuver en tant que dépensiers pour chaque jeton de fournisseur de liquidité (LP), leur permettant de drainer tous les actifs détenus par le protocole.
Entre 13h26 et 17h53 UTC, le 28 janvier 2021, l’adresse BSC 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 a utilisé la fonction susmentionnée pour vidange les 2 millions de dollars de crypto du protocole, en échangeant le tout contre la pièce native du réseau, BNB, dans le processus. Les LP PopcornSwap avaient tout perdu. L’attaque s’est terminée à 17 h 53 UTC, le 28 janvier, lorsque Fake_Phishing7 initié une transaction finale échangeant 250 913 pièces USD liées à Binance (USDC) contre 5 536 BNB. Cela a laissé à l’escroc environ 48 511 BNB, d’une valeur de 2 millions de dollars à l’époque (et 10,8 millions de dollars aujourd’hui), détenus à son adresse.
Les victimes demandent de l’aide à Binance
À la suite du tirage du tapis, les victimes formé le groupe de télégrammes PopcornRugPull. Ils se sont mutuellement exhortés à contacter Binance et à signaler la fraude, demandant à Binance de geler l’adresse des fraudeurs avant que des fonds puissent être encaissés. Certains utilisateurs pensaient que Binance pourrait geler l’adresse du portefeuille privé du fraudeur. D’autres ont fait valoir que cela était impossible, car un échange centralisé ne peut pas geler une adresse de portefeuille privé.
En rapport: Binance propose un nouveau stablecoin en confirmant son intention de cesser le support du BUSD
L’échange passe à l’action
Le 29 janvier 2021, Binance a répondu à l’une des victimes de PopcornSwap. Un utilisateur qui se fait appeler « Richie » a posté une image de l’e-mail qu’il a reçu. Dans ce document, l’agent du service client de Binance a déclaré à tort que « le portefeuille de l’escroc a été gelé ». L’agent du service client a exhorté Richie et tous les utilisateurs de PopcornSwap à être patients « jusqu’à ce que toute la situation soit résolue par les autorités ».
Mais en octobre 2022, les fonds volés sont restés inchangés et toutes les tentatives visant à obtenir une réponse du service client ont abouti à des lettres types demandant aux utilisateurs de contacter la police. Les victimes de PopcornSwap ont été déconcertées par la réponse apparemment insensible de la bourse aux demandes de remboursement des utilisateurs. Cependant, les données de la blockchain montrent qu’au moment de ces plaintes, Binance n’était pas en possession des fonds volés et n’était pas non plus affiliée à l’entité qui a volé l’argent des utilisateurs.
Contrairement à la déclaration du représentant du service client de Binance, les données de BNB Smart Chain montrent que l’adresse de l’escroc n’a pas été gelée avant le 6 octobre 2022. Au lieu de cela, les fonds sont restés sur le compte de l’attaquant et n’ont jamais été déposés sur un échange centralisé ni reliés à un autre réseau. L’escroc n’a pas réussi à encaisser le butin volé et n’a jamais profité de l’attaque. Mais cet échec était dû au manque d’initiative de l’escroc, et non à une action de gel effectuée par Binance.
Le gel du 6 octobre 2022
Le 6 octobre 2022, lors d’une attaque sans aucun rapport avec l’arnaque PopcornSwap, le pont BSC Token Hub a été détruit. exploité pour plus de 570 millions de dollars. L’exploiteur a utilisé une faille dans le code du pont pour émettre 2 millions de BNB sur Smart Chain sans les déposer au préalable du côté Beacon Chain du pont. Cela signifie que l’offre totale de BNB a augmenté de 2 millions sur BSC.
L’attaquant a immédiatement transféré 100 millions de dollars de BNB exploité vers d’autres réseaux, mettant ainsi les fonds hors de portée des validateurs BSC. En réponse, les développeurs BSC proposé un hard fork du réseau qui fermerait le pont et gelerait l’adresse de l’exploiteur. Lors de la rédaction de cette proposition, l’équipe a également inclus une ligne dans le code gelant l’adresse de l’escroc PopcornSwap.
Cette mise à niveau a été approuvée à l’unanimité par tous les validateurs de BNB Chain. En conséquence, les adresses de l’exploitant du pont et de l’escroc PopcornSwap ont été interdites d’effectuer toute transaction sortante après le 6 octobre 2022. Cependant, la nouvelle proposition n’incluait pas de code transférant les fonds gelés vers une autre adresse. Les victimes disent que Binance aurait pu faire davantage pour atténuer l’incident.
11/ Sur une note positive, il convient de noter que Binance a gelé le portefeuille et le BNB lorsqu’un piratage important s’est produit, ce qui constitue une étape positive. Cependant, le silence qui a suivi et le manque de communication concernant le BNB gelé suscitent des inquiétudes. Nous méritons des réponses.
– boîte à néonmatrix (@neonmatrixbox) 26 juin 2023
Binance répond
Lors d’une conversation avec Cointelegraph le 31 août, un représentant de Binance a confirmé que la proposition du 6 octobre 2022 visant à geler l’adresse 0xFd6042Df3D74ce9959922FeC559d7995F3933c55, également connue sous le nom de « Fake_Phishing7 », avait été faite par Binance. Le représentant a également confirmé qu’il s’agissait simplement d’une proposition qui ne pouvait être mise en œuvre sans le consentement des validateurs. Dans ce cas, la proposition a été acceptée à l’unanimité par tous les validateurs du réseau. Ils ont déclaré :
« À la demande des victimes de PopcornSwap, Binance a proposé de mettre sur liste noire l’adresse de l’attaquant aux côtés de l’attaquant de BNB Bridge en octobre 2022, qui a été soumise par l’équipe de BNB Chain et approuvée par les validateurs du réseau. »
Binance a également confirmé, en accord avec les données de la blockchain, que les fonds n’ont jamais été transférés en possession de Binance. « Nous pouvons confirmer que l’escroc n’a pas transféré de fonds vers Binance et que nous n’avons aucun contrôle sur les fonds », ont-ils déclaré. « BNB Chain est un écosystème open source et décentralisé ; les portefeuilles et/ou leurs fonds ne peuvent pas être gelés à volonté [and] les décisions de gouvernance sont coordonnées par la communauté.
Binance a affirmé que l’enquête n’était pas close et que l’échange était prêt à se conformer à la police si cela pouvait être utile. « Cette affaire reste sous enquête et notre équipe d’enquête est toujours prête à soutenir les forces de l’ordre dans la poursuite des responsables. « , a-t-il déclaré.
L’arnaque Pocornswap : un récit édifiant
Les victimes de l’arnaque PopcornSwap ont perdu plus de 2 millions de dollars de leur argent durement gagné. Voyant que Binance était le développeur de BNB Smart Chain, ils se sont tournés vers lui pour obtenir de l’aide. L’échange a refusé d’aider en invoquant la nature décentralisée des blockchains. Cependant, Binance a ensuite changé de cap et a gelé l’adresse privée du fraudeur avec l’accord des validateurs de la chaîne BNB.
L’arnaque PopcornSwap sert également de mise en garde sur les risques liés à l’utilisation de contrats intelligents. Si un contrat intelligent contient une faille qui permet à un attaquant de drainer les fonds des utilisateurs, les victimes seront confrontées à une lutte difficile pour tenter d’être remboursées par les validateurs une fois l’attaque terminée, car les forks d’une blockchain nécessitent essentiellement le consentement unanime pour être mis en œuvre. Telle est la nature des blockchains. De plus, notez que malgré leurs revendications décentralisées, les entités peuvent en fait exercer un contrôle sur les actifs des utilisateurs si elles le souhaitent.
Le rédacteur en chef de Cointelegraph, Zhiyuan Sun, a contribué à cette histoire.
En relation: Les victimes de plusieurs chaînes recherchent des réponses dans un exploit de 1,5 milliard de dollars alors que de nouvelles preuves émergent