Sybil Millionnaires : Comment les chasseurs de largages trompent les projets et arrachent des fortunes

« En une soirée, vous pouviez réaliser jusqu'à 10 comptes de qualité. Ce n’est pas compliqué, c’est juste un travail de tous les jours. C’est pourquoi tant de gens s’en inquiètent », a déclaré Ilya, un Ukrainien de 33 ans dont la principale source de revenus provient des parachutages.
Ilya (il a demandé à CoinDesk de changer son nom) négocie également des crypto-monnaies à des fins lucratives, mais les parachutages ont pris la plupart de son temps au cours des deux derniers mois, m'a-t-il dit sur Zoom, parlant depuis un « pays d'Europe du Sud ».
Ilya est l'un des nombreux traders de crypto qui gagnent de l'argent grâce aux attaques de Sybil sur les parachutages de jetons. En d’autres termes, ils créent plusieurs comptes sur un projet blockchain qui devrait larguer son jeton, puis ils capturent autant de jetons que possible. (Une attaque « Sybil » tire son nom d'un livre de 1973 sur une femme souffrant d'un trouble dissociatif de l'identité.)
Lire la suite : Arbitrum pour larguer un nouveau jeton et transition vers DAO
Les attaques exploitent la faible capacité des projets à identifier et éliminer les faux comptes et à retirer des dizaines, voire des centaines de milliers de dollars de chaque largage. Après avoir obtenu des jetons, ils les vendent immédiatement.
Course à l'argent gratuit
Les projets de finance décentralisée (DeFi) utilisent des airdrops – un cadeau de jetons gratuits pour les portefeuilles des membres actifs de sa communauté blockchain – pour attirer plus d'utilisateurs et encourager l'activité sur la blockchain du projet, comme fournir des liquidités aux échanges décentralisés, interagir avec des contrats intelligents et d'autres transactions.
Avec les airdrops, les projets tentent d'identifier et de récompenser les utilisateurs actifs sans laisser de jetons aux personnes qui ont créé des comptes à la dernière minute avant le largage pour récupérer des jetons sans réellement s'engager dans le projet. Après avoir obtenu les jetons, ces personnes vendent immédiatement, ce qui fait baisser le prix du jeton.
Les attaquants Sybil continuent d'essayer de tromper le système, en imitant l'activité saine de la blockchain à partir de plusieurs comptes appartenant à une personne ou une équipe. Ainsi, organiser un parachutage devient un jeu de taupe sans fin pour les projets – et ils sont loin d’être gagnants.
Par exemple, lors du récent largage du protocole de mise à l'échelle Ethereum Arbitrum, les utilisateurs et les entités contrôlant plusieurs adresses ont reçu près de 48 % de tous les jetons distribués, selon les chercheurs.
Sybil millionnaires
Ilya a 33 ans et la spéculation cryptographique est son travail principal depuis six ans. "Je m'y suis lancé fin 2016, avant le battage médiatique des ICO", a-t-il déclaré. Il était propriétaire d'une petite entreprise qui faisait le commerce de céréales en Ukraine, avant de se lancer dans le marketing en ligne. Lorsqu’il a découvert la cryptographie, tout a changé. Il a investi dans plusieurs offres initiales de pièces et ses rendements ont été décuplés.
Après que le battage médiatique des ICO se soit calmé, les offres d'échange initiales (IEO) sont arrivées, puis l'engouement pour les DeFi en 2020, puis l'obsession des jetons non fongibles (NFT). Si vous anticipez une tendance, a déclaré Ilya, ce n’est qu’un cadeau d’argent gratuit, les parachutages n’étant que la dernière opportunité en vogue.
Une personne que je connais a reçu 200 000 jetons provenant de plusieurs milliers de comptes.
"Les Airdrops sont un moyen juridiquement plus sûr de distribuer les jetons d'un projet que les ICO", a déclaré Igor Pertsia, fondateur du fonds de capital-risque Hypra. Il a déclaré que les attaquants Sybil particulièrement habiles peuvent s'en tirer avec jusqu'à plusieurs millions de dollars de crypto à partir d'un seul parachutage, ciblant des projets tels que Ethereum Name Service (ENS), Sui, Aptos et d'autres.
"Je connais des gens qui ont gagné entre 1 et 2 millions de dollars uniquement grâce à Arbitrum", a déclaré Pertsia à CoinDesk. "Contrairement aux ICO, dont beaucoup fonctionnaient davantage comme des Ponzis [schemes], les participants aux parachutages n'en parlent pas beaucoup car plus les gens veulent s'y joindre, moins chacun obtiendra."
Les preuves ne sont pas seulement anecdotiques. Les chercheurs de la blockchain ont repéré des portefeuilles cryptographiques qui accumulaient plus d'un million de dollars de jetons Arbitrum ARB provenant de divers autres portefeuilles, suggérant qu'ils appartiennent à la même personne. Dans certains cas, ces portefeuilles se sont avérés appartenir à des fraudeurs par phishing, qui ont simplement aspiré les fonds des portefeuilles de plusieurs victimes, a-t-on découvert plus tard.
Certains utilisateurs multi-comptes ont accumulé des totaux de jetons plus modestes. Les chercheurs ont trouvé au moins 198 adresses qui ont rassemblé des fonds à partir de plusieurs autres adresses après que l'instantané des soldes ait été pris et que la liste des portefeuilles éligibles ait été confirmée.
« Ce n’est pas sorcier »
Ilya ne faisait pas partie de ces millionnaires d'Arbitrum, a-t-il déclaré. Plusieurs de ses comptes ont été détectés dans le cadre d'une attaque Sybil et exclus du largage. Mais cinq des comptes qu'il a créés ont réussi à recevoir 20 000 jetons ARB, soit près du double du montant maximum qu'un compte pouvait obtenir lors du largage (10 250 jetons).
Ilya n'a pas hésité à vendre les jetons pour 1,40 $ chacun, pour un bénéfice bien supérieur à ses dépenses : pour maintenir un compte de qualité qui ne sera pas réduit, il lui faudrait payer environ 50 $ de frais de gaz pour les transactions sur le réseau, a-t-il déclaré. .
« Une personne que je connais a reçu 200 000 jetons provenant de plusieurs milliers de comptes. Il avait une équipe de personnes gérant chacune 500 comptes », a déclaré Ilya.
Ilya n'a qu'un seul employé qui l'aide à gérer ses comptes, qui est payé avec un salaire régulier et une part des bénéfices des parachutages. Ilya a déclaré que l'expertise technique n'est pas nécessaire pour reconnaître un largage rentable. Si vous pouvez analyser la dynamique sociale et deviner quelle sera la prochaine tendance, cela suffit.
En une soirée, vous pourriez créer jusqu'à 10 comptes de qualité. Ce n’est pas sorcier, c’est juste le travail de tous les jours
Garder ces comptes en vie n’est « pas sorcier », et même les lycéens peuvent conserver un tas de portefeuilles blockchain viables pour gagner de l’argent grâce aux parachutages. "Je connais des gars qui n'ont même pas encore 18 ans, qui gèrent 150 comptes chacun, et l'un d'entre eux a récemment gagné 500 000 $ grâce à des parachutages", a-t-il déclaré.
"Les jeunes de 20 ans ont raté le boom des ICO, et maintenant c'est une nouvelle vague de jeunes et d'affamés", a déclaré Pertsia.
Le risquer
On ne sait jamais quel projet laissera tomber des jetons un jour, c'est pourquoi les chasseurs de parachutages surveillent plusieurs projets qui semblent prometteurs. Critères?
"Cela devrait être bien connu, avec beaucoup de fonds levés, beaucoup de développeurs et d'investisseurs réputés, beaucoup de battage médiatique autour de cela et pertinent par rapport à ce qui se passe actuellement dans le domaine de la cryptographie", a déclaré Ilya. Les projets qui satisfont actuellement à ces critères incluent zksynk, StarkNet et LayerZero, ainsi que tout ce qui concerne la mise à l'échelle d'Ethereum, estime-t-il.
Lire la suite : Sam Kessler – Arbitrum montre à quel point les parachutages cryptographiques peuvent être désordonnés (et délicats)
En attendant un parachutage, ces chasseurs risquent de perdre leur argent si le projet est piraté et que toutes les liquidités en sont retirées. Les protocoles DeFi sont devenus la cible préférée des pirates informatiques et ont perdu 2 milliards de dollars rien qu’en 2022, selon la société d’analyse blockchain Chainalysis. Les ponts à chaînes croisées, en particulier, semblaient être l'une des cibles les plus attractives pour les attaques.
"Les gens injectaient des liquidités dans l'espoir d'un largage [in the future], puis ce pont était piraté et un hacker s'en sort avec vos 5 000 $", a déclaré Ilya. Il ne se souvient pas avoir perdu beaucoup dans de telles attaques, a déclaré Ilya, mais des personnes qu'il connaît détenaient jusqu'à 10 000 $ de jetons dans le protocole de prêt Euler récemment exploité. Au moins, l'attaquant s'est porté volontaire pour restituer les fonds.
Chasser les chasseurs
Alex Momot, PDG d'une startup de cryptographie Peanut Trade, a déclaré que son équipe surveillait de près les attaques Sybil sur les parachutages. L'un des services fournis par Peanut consiste à aider les projets DeFi à éviter de tels abus. Habituellement, les tactiques des chasseurs de parachutages sont assez simples, a-t-il déclaré : effectuez un minimum de transactions avec un minimum de jetons, juste pour passer le seuil d'éligibilité.
Les chasseurs financent souvent leur portefeuille en retirant de l’argent d’un échange centralisé. Étant donné que tous ces retraits sont traités à partir du portefeuille chaud d’une bourse, qui regroupe les pièces de nombreux utilisateurs en un seul endroit, il est impossible de voir exactement qui a retiré les jetons. Cela rend plus difficile l’identification des portefeuilles qui ont reçu des fonds du même portefeuille et qui appartiennent donc apparemment au même propriétaire.
Cependant, il existe encore des moyens d'exclure de la distribution les chasseurs de parachutages disposant de plusieurs comptes. Par exemple, les projets peuvent réduire considérablement tous les portefeuilles qui dépassent à peine le seuil.
« D’un côté, ce n’est pas mauvais que les projets obtiennent une certaine traction, même de cette façon, mais ils souhaitent créer de véritables communautés et avoir une réelle traction », a déclaré Momot. "Le pire, c'est que les projets perdent des millions en capitalisation boursière au moment de leur cotation en bourse [parce que] ces utilisateurs vendent immédiatement."