TechScape : Comment un projet de crypto-monnaie a perdu 180 millions de dollars au profit d’un programme pour devenir riche rapidement | Crypto-monnaies

Voici un stratagème très illégal et totalement inefficace pour devenir riche rapidement :

1. Emprunter un milliard de dollars pour une journée.
2. Acheter 51 % des actions d’une petite banque.
3. Organisez un vote parmi les actionnaires de la banque pour vous envoyer tout l’argent dans les coffres de la banque, ce que vous gagnez, car vous possédez 51 % des actions de la banque.
4. Vendez vos actions à la banque.
5. Remboursez votre prêt d’un milliard de dollars.

Le schéma est illégal parce que, eh bien, presque toutes les étapes individuelles sont elles-mêmes illégales. Un vote du conseil d’administration ne peut pas simplement transférer des actifs sociaux à un actionnaire majoritaire, ce serait un détournement de fonds, un crime ; une banque ne peut pas transférer des actifs dans son coffre-fort comme elle l’entend, car elle ne respecterait alors pas les réserves obligatoires, un crime.

Et c’est inefficace en plus : il vous serait difficile d’emprunter un milliard de dollars, de racheter toutes vos actions de la banque et d’organiser un vote parmi les actionnaires de la banque pour prendre les réserves de la banque avant que les clients de la banque ne découvrent votre stratagème et ne se précipitent pour être les premiers à retirer leurs avoirs.

Voici un schéma peut-être légal, certainement efficace pour devenir riche rapidement :

1. Faites la même chose, mais en crypto.

De notre histoire :

La crypto-monnaie Beanstalk a été dépouillée de réserves évaluées à plus de 180 millions de dollars (138 millions de livres sterling) en quelques secondes, après qu’un attaquant a utilisé de l’argent emprunté pour obtenir suffisamment de droits de vote pour transférer l’argent.

Un attaquant encore non identifié avait emprunté 80 millions de dollars en crypto-monnaie et les avait déposés dans le silo du projet, obtenant en échange suffisamment de droits de vote pour pouvoir adopter instantanément toute proposition. Avec ce pouvoir, ils ont voté pour transférer le contenu du trésor à eux-mêmes, puis ont restitué les droits de vote, retiré leur argent et remboursé le prêt – le tout en quelques secondes.

Beanstalk était – est, techniquement, bien que l’écriture soit sur le mur – un projet stablecoin, qui visait à créer une crypto-monnaie, Beans, qui vaudrait en permanence 1 $. Mais le nom prête à confusion : la meilleure façon de penser aux stablecoins est comme l’équivalent des banques dans le monde de la cryptographie. Vous remettez les actifs d’un projet et ils vous promettent qu’ils seront conservés jusqu’à ce que vous les réclamiez. Une banque suit vos dépôts avec elle en vous donnant un numéro de compte et un solde ; un stablecoin fait la même chose en vous donnant, eh bien, des stablecoins.

La plupart des pièces stables vantent leurs grandes réserves comme une raison de leur faire confiance ; les plus grands, tels que Tether et USDC, ont une fois très simplement promis que chaque pièce qu’ils émettaient était adossée une à une par un dollar dans leurs réserves (ces affirmations ont été édulcorées ces dernières années et l’un des différends en cours dans l’espace crypto est de savoir si elles ont jamais été vraies en premier lieu). Les petites pièces stables, comme Beanstalk, ont tendance à combiner l’aspect bancaire avec ce que l’on appelle parfois un « honnête Ponzi »: une promesse de payer des taux d’intérêt sauvages, clairement et ouvertement financés par de nouveaux afflux de capitaux.

Tout cela pour dire que Beanstalk détenait des centaines de millions de dollars d’actifs numériques en tant que réserves pour soutenir un stablecoin censé valoir en permanence 1 $. Jusqu’à ce que ce ne soit pas le cas.

Éclat! A-ah !

Au cours du week-end, un attaquant a profité d’un « prêt flash » pour prendre le contrôle de Beanstalk pendant quelques secondes. Les prêts flash ne sont possibles que dans l’espace crypto : un prêt qui est remboursé au même instant qu’il est fait. Quel est l’avantage ? Eh bien, disons que vous avez trouvé un moyen d’acheter un actif numérique pour 5 $ et de le vendre pour 6 $ – alors vous pouvez, en une seule transaction transparente, emprunter 5 millions de dollars, exécuter la transaction pour gagner 6 millions de dollars, retourner 5 millions de dollars et profiter de 1 $ M. Le prêteur ne prend aucun risque – car le prêt ne peut littéralement pas être accordé sans être remboursé – et perçoit une petite redevance pour la pratique.

Dans le cas de Beanstalk, le commerce n’était pas un arbitrage aussi net. C’était, en fait, le stratagème pour devenir riche rapidement que j’ai décrit. L’attaquant a utilisé le prêt pour racheter des droits de vote dans « l’organisation autonome décentralisée » (vous vous souviendrez de celles de janvier) qui contrôle Beanstalk. Il a ensuite adopté une résolution d’urgence pour prendre tout l’argent détenu par Beanstalk, avec suffisamment de voix – plus des deux tiers – pour qu’elle prenne effet immédiatement. Elle a vendu les droits, remboursé le prêt et entamé le processus de blanchiment du produit.

Pour être juste envers Beanstalk, l’attaque n’était pas aussi ouverte – et stupide – que le plan pour devenir riche rapidement. Il y avait un subterfuge : les propositions devaient être soumises 24 heures à l’avance, donc la proposition réelle n’était pas aussi simple que « donnez-moi tout votre argent » ; à première vue, cela ressemble plus à une proposition de faire un don de 250 000 dollars à l’Ukraine, avec une seule ligne servant à déclencher une vague de contrats supplémentaires qui ont vidé les coffres.

Mais néanmoins, mais les règles du monde de la cryptographie, il n’est pas tout à fait clair quel acte répréhensible a été commis. L’attaquant a acquis des droits de vote d’une manière explicitement autorisée par le code du projet, a voté pour une proposition explicitement autorisée par le code du projet et a pris de l’argent d’une manière explicitement autorisée par le code du projet. N’importe laquelle de ces choses aurait pu être modifiée : vous pourriez essayer d’écrire un stablecoin, comme beaucoup l’ont fait, qui empêche même le DAO qui le soutient d’interférer avec les réserves ; vous pourriez empêcher que les prêts flash soient utilisés pour acquérir des droits de vote ; vous pouvez empêcher le vote sur les résolutions tant qu’elles n’ont pas été explicitement vérifiées et approuvées. Beanstalk… non.

Selon les règles du monde réel, il y a presque certainement un crime ici, bien qu’il ne soit pas facile d’identifier lequel. Peut-être une fraude ? Vous ne pouvez probablement pas remettre à quelqu’un un code informatique qui dit dans un anglais assez clair qu’il s’agit d’une proposition de faire un don de 250 000 dollars à l’Ukraine, mais qui vous fait en réalité un don de 180 millions de dollars, puis quand ils l’exécutent, dites « haha ventouses » et n’entrez pas en quelque sorte d’ennuis juridiques. Mais plus vous pénétrez profondément dans le secteur de la cryptographie, moins les règles du monde réel s’appliquent. Dans le monde réel, vous ne pouvez pas non plus démarrer une banque sauvage qui frappe sa propre monnaie pour payer des taux d’intérêt à deux chiffres sur les fonds des clients.

Au cours de la dernière journée, les fondateurs de Beanstalk ont ​​​​établi un plan en quatre points pour se remettre du braquage, détaillant leurs objectifs de lever plus de réserves, de rendre entiers ceux qui étaient investis dans le projet avant l’attaque et « d’assurer le succès durable de Le modèle économique de Beanstalk ». Bonne chance à eux, mais je pense que leur réponse initiale, le jour de l’attaque, pourrait être plus vraie : « Honnêtement, je ne sais pas quoi taper. Nous sommes baisés… Il est hautement improbable qu’il y ait une sorte de renflouement à venir.

Si vous souhaitez lire la version complète de la newsletter, inscrivez-vous pour recevoir TechScape dans votre boîte de réception tous les mercredis.