Exit scam de Kokomo Finance

Le 27 mars 2023, le protocole de prêt Optimism Kokomo Finance — un fork de Compound v2 — a exécuté un rug pull de 4 millions de dollars. L'équipe a mis en pause le marché cBTC du protocole, modifié le contrat de récompense pour pointer vers une implémentation malveillante, drainé le WBTC fourni par les utilisateurs, puis supprimé le site web et tous les canaux sociaux.

Ce qui s'est passé

Kokomo Finance se présentait comme un marché de prêt légitime sur Optimism avec les signaux de confiance standards — un produit fork de Compound déployé et une présence sociale active. Il avait accumulé une TVL significative, y compris du WBTC fourni par les utilisateurs.

Le rug a exploité le contrôle privilégié retenu par l'équipe sur les contrats du protocole :

1. Mise en pause du marché cBTC — empêchant les utilisateurs de retirer pendant l'exécution du rug.
2. Modification du contrat de récompense (l'implémentation de cBTC) vers une version malveillante que l'équipe contrôlait — utilisant l'autorité d'upgrade qu'elle avait conservée sur les contrats du protocole.
3. L'implémentation malveillante permettait à l'équipe de transférer le WBTC fourni par les utilisateurs hors du protocole vers des adresses contrôlées par l'attaquant.
4. Drainage d'environ 4 M$ en WBTC et autres actifs.
5. Suppression du site web, du Twitter et de tous les canaux communautaires — le mouvement de fin d'exit scam standard.

Le token KOKO s'est effondré d'environ 95 % ; les utilisateurs ayant fourni du collatéral aux marchés mis en pause ne pouvaient pas retirer et ont perdu leurs dépôts.

Conséquences

• Aucune récupération — le rug était structuré de sorte que l'équipe contrôlait les clés d'upgrade, la fonction de pause et le chemin de sortie.
• Kokomo Finance a rejoint la longue liste des rug pulls de forks Compound à l'apparence auditée sur les L2 émergents en 2022-2023.

Pourquoi c'est important

Kokomo Finance est une entrée représentative du sous-genre « rug de fork Compound » — distinct des bugs de fork Compound (Hundred Finance, Sonne Finance) parce que la perte était intentionnelle, exécutée via le contrôle privilégié retenu plutôt qu'une vulnérabilité non intentionnelle.

Les leçons structurelles pour les utilisateurs :

1. Les forks de prêt upgradeables avec clés admin retenues sont capables de rug par construction. Si l'équipe peut mettre en pause les marchés et upgrader les implémentations de contrat, elle peut faire exactement ce que Kokomo a fait. La question on-chain que les utilisateurs devraient poser — mais posent rarement — est « qui contrôle l'autorité d'upgrade et de pause, et est-elle renoncée, timelockée ou protégée par multi-sig ? »

2. La séquence « pause puis drainage » est une signature de rug. Une mise en pause d'urgence légitime protège les utilisateurs ; une mise en pause immédiatement suivie d'un upgrade d'implémentation et d'un transfert d'actifs est une sortie. Le pattern est détectable on-chain, et les services de monitoring le signalent de plus en plus — mais généralement trop tard pour les déposants déjà dans le marché en pause.

3. Les L2 émergents dans leur phase de croissance attirent les fork-rugs. La croissance écosystémique d'Optimism 2022-2023, comme celle de BSC en 2021 et d'Arbitrum 2022-2023, a attiré une vague de forks Compound déployés rapidement — certains buggés, certains malveillants, structurellement indistinguables pour les utilisateurs au moment du dépôt. Kokomo est l'un des nombreux ; le pattern se répète sur chaque chaîne pendant sa fenêtre de croissance à forte incitation.

La méta-leçon récurrente : « c'est un fork Compound sur une nouvelle chaîne » n'est pas un signal de sécurité — c'est un signal de risque, parce que le fork hérite des footguns de Compound et des incitations de l'équipe, dont aucune n'est rendue plus sûre par la jeunesse de la chaîne.