Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 126Rug pull

Rug au jour du lancement de Hope Finance

Hope Finance a perdu 1,86 M$ au lancement Arbitrum : le contrat déployé différait de celui audité ; les fonds sont allés directement à Tornado Cash.

Date
Victime
Hope Finance users
Chaîne(s)
Arbitrum
Statut
Fonds dérobés

Le 21 février 2023, le projet DeFi basé sur Arbitrum Hope Finance a accompli ce qui a été largement caractérisé comme un rug pull au jour du lancement. En quelques heures après la mise en ligne, environ 1 095 ETH (~1,86 M$) avaient été routés depuis les contrats de dépôt utilisateurs via Celer et Uniswap jusqu'à Tornado Cash. La communication officielle de Hope Finance a identifié l'alleged auteur comme Ugwoke Pascal Chukwuebuka, un ressortissant nigérian, et a partagé sa photo et sa carte d'électeur publiquement — une attribution inhabituellement directe dans un cas de rug pull.

Ce qui s'est passé

Hope Finance avait lancé en janvier 2023 avec un marketing autour d'un stablecoin algorithmique (HOPE) qui ajusterait dynamiquement l'offre face au prix de l'ETH. Le projet avait commandé un audit de sécurité à Cognitos, qui a produit un rapport sur les contrats que le projet leur a partagés.

La divergence fatale : le contrat que Hope Finance a déployé en production n'était pas le contrat que Cognitos avait audité. Cognitos a plus tard déclaré que l'équipe Hope avait changé les contrats plusieurs fois avant le déploiement, chaque changement nécessitant une nouvelle revue — et que la version finale déployée contenait un chemin qui permettait aux fonds d'être drainés par une adresse contrôlée par l'équipe.

Quand les dépôts utilisateurs ont afflué dans le contrat au lancement :

  1. Les fonds se sont accumulés dans les contrats de traitement de dépôts à mesure que les utilisateurs participaient au lancement.
  2. Le chemin de drainage a été déclenché — soit par l'opérateur légitime de l'équipe (dans l'interprétation rug pull), soit par quelqu'un avec les clés (dans l'interprétation plus charitable de vol).
  3. ~1 095 ETH ont quitté via Celer Bridge vers des adresses de consolidation.
  4. Les fonds ont été swappés via Uniswap et routés vers Tornado Cash en quelques heures.

Le compte officiel de Hope Finance a pris la mesure inhabituelle d'accuser publiquement un individu nommé spécifique — Ugwoke Pascal Chukwuebuka, identifié comme ressortissant nigérian — et de publier sa photographie et l'image de sa carte d'électeur. Que cette attribution soit correcte, ou qu'elle soit un bouc émissaire pour transférer le blâme, n'a jamais été définitivement résolu publiquement.

Conséquences

  • Les smart contracts de Hope Finance ont été mis en pause et le projet effectivement arrêté.
  • Aucune procédure judiciaire n'a été divulguée publiquement ; aucune récupération on-chain n'a eu lieu.
  • L'incident est devenu un exemple fréquemment cité de rug pulls au jour du lancement en 2023 — une année qui a vu des nombres records de lancements DeFi de small-cap au destin similaire.

Pourquoi c'est important

Hope Finance est l'une des études de cas les plus claires pour démontrer pourquoi les revendications « audité » doivent être vérifiées de bout en bout. Le cycle :

  1. Le projet commande un audit sur la Version A des contrats.
  2. L'auditeur rapporte des problèmes ; le projet itère vers les Versions B, C, D, etc.
  3. Le projet déploie la Version E au lancement, qui incorpore des changements que l'auditeur peut ou peut ne pas avoir re-revus.
  4. Les utilisateurs voient le badge d'audit sur la page marketing du projet et supposent que « audité » signifie « ce dans quoi vous déposez est sûr ».

La réponse défensive pour les utilisateurs — vérifier que le bytecode du contrat déployé correspond à la version auditée — requiert des connaissances techniques que la plupart des participants retail n'ont pas. La réponse défensive pour les auditeurs — publier uniquement l'audit pour l'adresse déployée spécifique, avec hash du bytecode, sans ambiguïté — est de plus en plus standard mais reste inégale.

L'attribution Hope Finance est aussi notable comme un exemple précoce de nommage public d'auteurs présumés. Que l'attribution ait été exacte ou non, le précédent — projets identifiant publiquement les identités réelles d'attaquants suspectés — a été repris par plusieurs réponses ultérieures de rug pull. Les implications légales et éthiques restent contestées ; la pratique continue.

Sources & preuves on-chain

  1. [01]coincu.comhttps://coincu.com/168666-hope-finance-appears-rug-pull/
  2. [02]cryptopotato.comhttps://cryptopotato.com/largest-exit-scam-on-arbitrum-hope-finance-drained-for-2m/
  3. [03]bitcoininsider.orghttps://www.bitcoininsider.org/article/205762/defi-protocol-hope-finance-hacked-2m-launch

Dépôts liés