Shiba Inu est actuellement l’un des projets les plus surveillés et populaires du marché. Au vu des vives réactions que cette crypto a engendrées, nous avons décidé chez BeInCrypto de nous intéresser à ces spécificités et ces risques sous une série d’articles nommés Cryptenquête.
Précédemment, dans notre dernier article au sujet de Shiba Inu : l’introduction du projet, du public visé ainsi que de ses concurrents.
Dans ce second épisode, nous porterons davantage notre regard sur les aspects techniques, basés sur l’audit de Certik publié le 9 juillet 2021, de Shiba Inu. Et en fonction des différents éléments découverts par notre équipe, qui relèvent essentiellement de ce que nous avons pu tirer de cet audit ; y’a-t-il de quoi susciter au moins un début de doute concernant ce projet ?
Le context de l’audit
Le 9 juillet 2021, Certik a dévoilé l’audit de Shiba Inu, comportant 34 erreurs, dont 8 erreurs majeures, notifiées par celle-ci. Cette nouvelle a grandement inquiété les investisseurs concernés par les activités de ce projet, et qui a amenait Shiba Inu y apporter des solutions aux erreurs répertoriés dans l’audit de Certik. Toutefois, à ce jour, une erreur mineure subsiste encore.
Rappelons que le recours à un audit mené par un individu ou un groupement d’individus spécialisé est une certification de plus de la véracité d’un projet, selon l’état de son développement. En effet, par le fait qu’il s’agisse d’une entreprise extérieure, l’objectivité de son rapport n’en sera que renforcée : les intérêts des entreprises qui mènent ces audits ne sont à priori pas liés à ceux des projets audités. Rassurer les investisseurs par cette certification élimine en grande partie les risques de scam.
Ce n’est pas une caractéristique propre au marché puisque les audits ne sont pas uniquement destinés au marché des cryptomonnaies. Certik se spécialise dans l’analyse de cryptomonnaie et à la recherche d’erreurs dans le code des smart contracts. Analysée par des experts de l’industrie, la compagnie publie ensuite leurs trouvailles au public, rassurant généralement les investisseurs hésitants sur un projet.
Pour autant, rien n’est certain, le projet audité n’assure pas forcément sa fiabilité. Citons le cas, par exemple de CakeLock en 2021 : un projets audité par Certik mais qui c’est avéré être un rug pull.
Nous pouvons alors nous demander comment un projet audité par une agence composée essentiellement d’experts dans le secteur des cryptomonnaies, peut au final s’avérer être un rug pull ou basiquement un scam (arnaque). La raison est simple. Les audits techniques (dont le cas ci-présent, réalisé par Certik) ne font que vérifier le bon fonctionnement du code du projet, et non pas la fiabilité du projet.
Ainsi, même si l’audit technique atteste de la qualité du code en question, celui-ci n’exclut en aucun cas les risques de rug pull mais réduit considérablement les risques de défaillance, au niveau de son squelette technique. Dans un certain sens, nous pourrions aller jusqu’à dire qu’il élimine généralement les risques de scam. En effet, l’individu ou un groupement d’individus qui mène l’audit engage dans ce processus de certification sa réputation. Un projet déclaré fiable selon des critères techniques mais qui par la suite se révélera être un scam est alors une mauvaise publicité. Ainsi, ils mettent donc toute leurs attentions sur la qualité des projets qu’ils analysent.
Analyse de l’audit : les risques de ShibaSwap
Pour en revenir à Shiba Inu, intéressons-nous à présent au cœur de cette partie : son audit Certik ainsi que sa plateforme, ShibaSwap. Pour réduire les risques de rugpull ainsi que de pertes des fonds, une mesure multisignature (aussi nommée multisig) a été mise en place.
Petit rappel : il est possible de staker sa monnaie sur ShibaSwap. En échange de cela, les utilisateurs sont récompensés avec un jeton de liquidité représentant leur part du fonds de liquidité.
Précédemment, la totalité des fonds était sous le contrôle d’une seule adresse (owner) qui avait le pouvoir à tout moment d’enclencher un rug pull. Ce problème a été résolu il y a quelques jours à travers une solution mutlisignature. L’adresse a ainsi été renouvelée grâce à cette solution dans un fonds sécurisé Gnosis. Le fonds en question est entretenu par 9 adresses.
Dans le contexte des cryptomonnaies et pour rapidement définir ce qu’est une adresse mutlisig, c’est un type de signature numérique permettant à deux ou plusieurs utilisateurs de gérer un portefeuille tant que groupe. Ainsi, dans ce même contexte, un portefeuille peut être ouvert et maintenu par plusieurs adresses.
C’est un moyen clair et simple pour un projet de démontrer au public que leur fonds ne sont pas entretenus par une seule et même adresse. La solution est relativement efficace, mais perd très rapidement de son efficacité pour un projet non-doxxé (anonyme). Puisque dans ce cadre précis, il est impossible de vérifier l’identité des détenteurs des adresses en question : une seule et même personne peut finalement créer un portefeuille multisig avec plusieurs adresses mais entretenues par cette seule personne.
Le rapport Certik démontre avoir vérifié l’identité des personnes en question, le problème étant que les identités présentées, anonymes, et les noms des détenteurs des 9 adresses du projet sont des pseudonymes. De plus, plusieurs de ces adresses sont de nouveaux comptes avec 0 transactions et ne contenant aucun ETH ; ils ne sont donc probablement que des portefeuilles réservés pour les développeurs ShibaSwap qui peuvent facilement utiliser les fonctionnalités de propriétaires sur leur contrats de staking.
Penchons-nous sur ce point. Selon Joseph Schiarizzi, l’une des fonctions du contrat est migrate. Celle-ci a pour but de diriger tous les jetons du fonds de liquidité à n’importe quelle adresse que les développeurs veulent.
Joseph Schiarizzi décrit en détail le processus. Selon lui, la fonction “migrate” est le véritable problème. En-dessous se trouve le code de leur contrat de staking.
La fonction “setMigrator” permet au propriétaire du contrat de déployer n’importe quel smart contract en tant que migrateur. Tandis que la fonction “migrate” peut être appelée à tout moment par n’importe quel migrateur valide.
Lorsque toutes les conditions sont mises en place, la liquidité de ShibaSwap peut être déplacée dans un nouveau contrat migrateur. En d’autre terme, toute la liquidité de ShibaSwap peut être à tout moment prélevée par leurs développeurs. Toute ces données peuvent être vérifié sur Gnosis Safe.
Un autre sujet que nous avons brièvement abordé dans notre précédent article est la sécurité de la plateforme d’échange, ShibaSwap. Celle-ci a reçu un score abyssal de 3% d’après DeFi Safety. A titre de comparaison, Gnoxis DEX a un score de 90%, et pour qu’une plateforme d’échange décentralisé soit qualifiée pertinente (Defi Safety vérifie les proclamations d’un projet contre ces faits), celle-ci doit obtenir au minimum obtenir un score de 70%.
“ShibaSwap se dévoile avec un score dévastateur de 3%. Si vous cherchez un excellent exemple de ce à quoi ressemble la négligence absolue dans un protocole, ne cherchez pas plus loin. Zéro transparence. Vous mettez votre argent dans un trou noir.”
DeFi Safety
Après l’audit de Certik, le score de ShibaSwap a augmenté à 35%. Selon leur rapport, l’audit manque de transparence et manquerait l’adresses des smart contracts.
Il est difficile de se forger un constat entièrement positif de Shiba Inu en présence de ces informations, mais qu’elle est la finalité de ce projet ? Pouvons-nous porter notre confiance, malgré le fait que ce soit un projet non-doxée et en présence de ces preuves ? Nous y répondrons dans notre troisième partie.
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
