Le vol du token de Schrödinger

L’art ludique sous forme de NFT - le premier de son espèce.

De nombreux univers se rencontrent dans cette histoire tordue de théorie des jeux, d'art, de valorisation et de crime - une expérience unique alimentée par une mécanique quantique dégénérée.

SuperMassive, via un principe de superposition a proposé un prix Bitcoin.

C’est alors qu’un résultat inattendu nous a montré qu’il y avait plusieurs façons de dépecer le chat de Schrödinger.

Fût-ce alors une expérience parfaitement réussie, ou un braquage d’art numérique bien maquillé ?

La fin reste ouverte à toute interprétation (de Copenhagen ou autre).

Malgré une promotion et une préparation intenses, les créateurs du projet ont laissé un silence de mort après cette fin imprévue.

Bien que l'incertitude ait été recherchée (l'expérience s'appelait «The Rug Pull»), personne ne s'attendait à ce que le code soit exploité et que les dés soient pipés.

Voici comment les règles ont été expliquées :

Il y a 12 NFTs. Tous identiques en apparence. Dans un de ces NFTs, il y a un Bitcoin caché. Vous ne savez pas lequel contient le Bitcoin. Vous pouvez le découvrir en déverrouillant le NFT, ce qui vous dévoilera si ce NFT contient ou non le Bitcoin.

Cependant, au moment où vous le faites, le statut de votre NFT - qu'il contienne ou non le BTC - sera visible.

Il y a donc 1 chance sur 12 que vous soyez en possession d'un bitcoin, et il y a 11 chances sur 12 que vous ne le soyez pas.

Cela vaut-il le coup de prendre le risque et de regarder à l’intérieur ? Si le Bitcoin est à 10 000 $, cela vaut-il le coup ? S’il est à 100,000 $, cela vaut-il le coup ?

N'importe laquelle des 11 autres personnes qui possèdent le NFT pourrait couper l’herbe sous le pied des autres possesseurs en dévoilant son NFT et, s’il y trouve le Bitcoin, provoquer un effondrement de la valeur des autres NFTs. Mais ils pourraient tout aussi bien ouvrir leur NFT et n’y trouver aucun Bitcoin, faisant augmenter la valeur des 11 autres.

Les 12 NFT ont été vendus aux enchères pour un total de 65,000 USD (payés en $MEME), pour un prix à l’unité allant d'environ 4080 USD à 8400 USD, ce qui, par rapport au prix du BTC à l'époque (~ 18 450 USD), représenterait une majoration d'environ 250%.

Pour les propriétaires de NFT, le comportement le plus logique eut été de ne pas révéler le statut de son NFT et de se contenter de le garder, le prix du NFT devant normalement atteindre une valeur d'au moins 1/12 Bitcoin sur la longueur.

Robin (SuperMassive) : C’est un cas concret de dilemme du prisonnier. La meilleure solution pour tous les propriétaires est de NE PAS regarder à l'intérieur.

Et si vous n'aviez en réalité pas besoin de regarder à l'intérieur ?

Et si un joueur pouvait enfreindre les règles et choisir où se situait le NFT ?

Le code a finalement été exploité et l'assaillant a pu extraire le Bitcoin à partir de n'importe lequel des douze NFTs.

Rekt a été approché par des participants mécontents, qui ont non seulement considéré l'expérience comme un échec, mais ont également affirmé que les créateurs avaient tenté de camoufler le résultat.

rekt OPSEC a contacté les experts en NFT de BlackPool pour nous aider à mener notre enquête.

Le jour du début de la vente aux enchères (le 11 novembre), un utilisateur nommé RStudios apparaît dans le Discord.

RStudios ne semble aucunement affilié à MEME. Son portefeuille a un historique et il est impliqué dans d'autres projets NFT comme on peut le voir sur OpenSea.

Une fois la vente aux enchères terminé, on l’a aperçu déclarer :

Environ un mois plus tard, (le 26 décembre) le code fut exploité.

Voici un aperçu des transactions en lien ce jour-là :

1)      RStudios a fait l'acquisition d’un NFT auprès de y_kimin pour 13,000 DAI.

2)      Durant une séquence de transactions, il a extrait le wBTC.

UN

DEUX

TROIS

3)      RStudios s'est ensuite débarrassé du NFT dépouillé pour 1,7 ETH et est reparti avec 1 wBTC et 1,7 ETH de profit, moins les 13000 DAI qu'il avait déboursés pour le NFT.

Rstudios n’a pas eu à choisir le NFT gagnant. Il ou elle en a simplement acheté un sur un marché secondaire (après avoir négocié le prix à la baisse) et a ensuite coupé l’herbe sous le pied des autres joueurs.

Il semble que l’attaque leur a nécessité un jour ou deux de préparation, et, selon leurs propres mots, “ce n’était pas facile”.

La revente du NFT vide a ajouté de l’huile sur le feu de la controverse, bien que RStudio ait finalement proposé de finalement le racheter.

Bien que certains participants considèrent l'expérience comme un échec, les créateurs continuent de soutenir le contraire

Nous nous retrouvons donc à poser une question bien trop récurrente…

Est-ce que le résultat est injuste, ou bien est-ce que les exploits font simplement partie du jeu ?

rekt a échangé avec Robin pour tenter de trouver la réponse à cette question.

rekt :

Salut Robin, merci de nous répondre !

Cela fait à peine une semaine que l’expérience “Rug Pull” s’est terminée.

Êtes-vous satisfait du résultat ?

Robin :

Ahah, vaste question ! Cela dépend de comment vous voyez le truc. Le Rug Pull n’était pas une simple mise en enchère avec en bonus le jeu lié au NFT, c’était aussi une expérience sociale avec toute une construction théâtrale et médiatique basée sur la cupidité et la confiance.

Mais il ne fait aucun doute que la façon dont le Bitcoin a finalement été réclamé ressemblait à une fin en queue de poisson, loin de nos attentes initiales.

Le jeu consistait à exercer une pression sur les participants et à leur faire affronter leur propre cupidité. Ce qui c’est passé, c’est que l’un des douze participants en vendant son NFT pour réaliser un petit profit a brisé cette fragile chaîne de confiance implicite. Cela prouve encore une fois que la solidité de toute chaîne correspond à celle de son maillon le plus faible.

Dans le cas qui nous intéresse, il n'en a pas fallu beaucoup pour qu’un participant décide de prendre l’argent et de partir. J’avais envisagé cette hypothèse dans la vidéo de présentation. Jusqu’à quel point pouvez-vous faire confiance aux autres détenteurs des NFTs ? La coopération était la meilleure solution. Mais j’aurais vraiment aimé voir plus de pression de la part du Bitcoin pour rendre le tout palpitant ?

Je ne suis donc pas mécontent du résultat mais par contre sûr et certain qu’il y avait bien mieux à tirer de toute cette histoire.

Cela a tout de même permis de savoir ce qui a le plus de valeur entre l’art ou la crypto contenue dans celui-ci. Et ici, la crypto a eu plus d’attrait. C’est triste, mais l’on pouvait s’y attendre.

rekt :

Rstudio a pu retirer le Bitcoin du NFT sans que personne ne s’en rende compte.

Qu’est ce qu’il se serait passé s’il n’avait rien dit ?

Robin :

C’est une bonne question.

Nous avons de la chance que les hackers soient assez vaniteux et désireux que leur intelligence soit reconnue par tous.

Honnêtement, ce n’est pas moi qui ai programmé le contrat ni conçu la mécanique. On peut toujours avoir plein de grands projets mais il y a aussi la réalité et les contraintes du réseau à prendre en compte.

Je n’ai pas répondu à votre question.

Selon toute probabilité, rien ne se serait passé tant que personne n'aurait ouvert le NFT. Puis il y aurait eu des gens qui se seraient mis à rager, à accuser tout le monde, à FUD, et tout le tralala habituel. Et puis j’aurais dû vendre quelques trucs, j’aurais acheté un Bitcoin de dédommagement et tenté d’améliorer mon Klout pour montrer que je suis un bon gars.

Ou d’autres conneries du genre. J’en sais rien. Vous connaissez le truc, c’est le monde de la crypto. Nous aurions eu un impact positif dans tous les cas. Bien que je ne sache pas à quel point la mécanique propre à une loterie aurait fonctionné.

rekt :

Le lancement de de l’expérimentation a été très médiatisé, mais la fin n’a pas été couverte du tout.

Si le projet a eu les résultats escomptés, pourquoi ne pas avoir publié un bilan ou un communiqué final ?

Robin :

Si l’on parle stricto sensu de résultats attendus, cela donne l'impression que nous nous attendions à ce que quelqu'un exploite le code de cette façon. Ce n’est pas le cas.

Forcément nous nous attendions à ce que le NFT soit pris pour cible, mais nous espérions que l’attraction et l'expérimentation créées autour de l’objet d’art auraient supplanté le lot et lui auraient conféré de facto plus de valeur et d’attrait.

Vous voyez ce que je veux dire ? Vous vous dites que vous pourriez très bien exploiter le truc, mais ce n'est pas pour autant que vous allez le faire.

C’est une idée que j’avais émise dès le départ. J’avais divulgué mes clés privées et laissé les gens prendre mes tokens. Quasiment tout le monde me les a restitués, sauf une personne qui n’était pas du groupe.

L’exploit est arrivé au mauvais moment pour moi. Après l’année que l’on a vécue, j’avais fait une pause dans la crypto pour me consacrer à ma famille. J’avais prévu de faire un épisode Defiant consacré à l’épilogue de cette histoire, mais lorsque vous m’avez contacté je me suis dit que votre journal serait une meilleure plateforme pour faire ça.

Il y a aussi le fait que l’on considère cette histoire terminée.

Or, ce n’est pas le cas. Les NFTs existent toujours, avec une communauté autour, et je pense que c’est prématuré de parler de fin définitive. Cette nouvelle année fut laborieuse, mais toute l’équipe de MEME et moi-même voudrions écrire un nouveau chapitre de cette histoire, même si jusqu'ici nous n’avons pas trouvé de liens pour créer de suite correcte.

En fin de compte, nous avions promis un rug pull, et il y en a bien eu un.

rekt :

L’assaillant avait fait une annonce publique concernant les failles de sécurité un mois avant l’exploit.

Pensez-vous que ces avertissements ont été pris assez au sérieux ?

Robin :

Ça dépend de comment vous voyez les choses. Poster un message public sur Discord et envoyer un message privé à l’équipe pour discuter sont deux choses différentes.

Je ne sais pas si vous lisez tous les messages de chaque application sociale que vous utilisez, mais moi absolument pas.

Il semble malheureusement que l’équipe n’ait pas vu ce message. Mais si l’assaillant avait été motivé à aider l’équipe et réparer les failles de vulnérabilité, il aurait insisté plus lourdement.

Finalement, son message lui fournit un bon alibi en forme de doigt d'honneur et ça peut expliquer son flex. Ça n'a pas été traité car ça n’a pas été vu. Je ne pense pas que l’on puisse blâmer l’équipe pour ça.

rekt :

Cette expérience était un concept entièrement nouveau, et même si elle n'a peut-être pas été très longue, elle nous fait réfléchir aux opportunités créatives que la rareté numérique a à nous offrir.

Quelle est votre vision à long terme concernant les NFTs ?

Robin :

Je trouve le concept de SOCKS complètement fou. Des gens vont acheter un NFT représentant une paire de chaussettes qu’ils ne posséderont jamais mais vont pouvoir spéculer sur sa volatilité.

Ce ne sont que des produits financiers dérivés bien sûr, mais si vous étendez ce concept, tout peut devenir un NFT. Chaque objet dans ce monde peut avoir son double numérique dans une métaverse. Et vous commencez alors à entrevoir des idées de dingue au niveau production, développement, durabilité et bien d’autres choses encore.

Le monde de la mode numérique semble le plus prêt à connaître des changements majeurs. Votre photo de profil Instagram devient plus importante que le vêtement que vous portez en vrai. On peut maintenant marquer numériquement notre identité à un groupe sans avoir à cautionner des usines à sueurs.

Je n’ai pas poussé la question de l'avenir des NFTs à fond, et je sais qu’il reste plein de sujets à creuser, mais je suis content de faire partie de ceux qui expérimentent.

rekt :

Merci pour votre temps Robin. Voudriez-vous dire quelque chose à nos lecteurs ?

Robin :

Ne vous engagez pas à fond dans quelque chose que vous ne comprenez pas. L’année s’annonce sauvage, mais vous devez garder la tête froide.

Ils ont promis un rug pull, et il y en a eu un.

Nous encourageons toujours nos lecteurs à penser de façon non conventionnelle, d’envisager toutes les possibilités quand ils s'intéressent à quelque chose.

Aussi peu probable que cela puisse paraître, il n’y a aucune preuve suggérant que cela n'a pas été magouillé en interne. Ce n’est peut-être pas directement lié à l’équipe, mais peut-être à quelqu’un d’associé au projet…

L'équipe MEME est peut-être plus méfiante que d'habitude en ce moment, et elle aurait raison de l'être …

Même si le code aurait pu être plus sécurisé, cela ressemble plus à une expérience ratée qu’à un travail d’incompétent.

Il est toutefois compréhensible que certains joueurs soient déçus du résultat, et qu’ils le prennent encore plus mal que certains gros hacks.

C’est comme si l’on comptait les cartes pendant une soirée poker pour enfants. Ce n’est en soi pas de la triche, mais c’est vraiment gâcher le plaisir de quelques innocents qui voulaient juste tester quelque chose de nouveau.

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.