Analyse de la vulnérabilité du contrat de jeu SQUID - Le risque reste élevé

【TL ; DR】
Après le crash, le projet SQUID a affirmé avoir supprimé les restrictions sur les grandes transactions SQUID du contrat. Il a transféré l'accès du propriétaire à l'adresse du trou noir, et a fermé tous les comptes de médias sociaux.

Récemment, le prix de SQUID a fortement rebondi, atteignant près de 0,40 $ au moment de la rédaction. Il s'agit d'une augmentation de centaines de X par rapport à son point le plus bas il y a quelques jours.
Les détenteurs de SQUID sont actuellement engagés dans une campagne d'"auto-assistance communautaire", espérant profiter de l'emballement de l'équipe du projet pour obtenir plus de décentralisation et d'autonomie communautaire pour le projet.

Une analyse du code contractuel montre qu'il existe encore des risques dans le projet SQUID.

Risque 1 : Les jetons sont encore concentrés dans plusieurs adresses et il y a une possibilité d'un second rug pull.
Risque 2 : Le code du contrat peut être mis à jour à tout moment. Cela pourrait impliquer des opérations telles que l'émission d'un grand nombre de tokens supplémentaires, ce qui serait extrêmement négatif pour les détenteurs de tokens.


Lorsque le crash a eu lieu, le prix de SQUID est descendu jusqu'à 0,0007 $, mais l'histoire autour du jeton SQUID ne s'est pas arrêtée lorsque son prix est devenu proche de zéro. Récemment, son prix a fortement rebondi, atteignant près de 0,40 $ au moment de la rédaction, soit des centaines de fois plus que son point le plus bas il y a quelques jours.

La semaine dernière, les développeurs du projet cryptographique Squid Game (SQUID) ont empoché les fonds des investisseurs et n'ont plus donné signe de vie. Ils ont vendu une grande partie des jetons, extrayant la liquidité du pool d'échange (SQUID/BNB) sur PancakeSwap. Cela a conduit à une chute massive du prix de SQUID. Après l'incident, le projet a affirmé avoir supprimé les restrictions sur les transactions importantes de SQUID dans le contrat. Il a transféré l'accès du propriétaire à l'adresse du trou noir (note : dans cette adresse, la clé privée est introuvable), et a fermé tous les comptes de médias sociaux.

Pour plus d'informations sur le flash crash de SQUID le 1er novembre, veuillez lire ici : Squid Game Rug Pull Scam : Comment choisir un projet fiable ?


Après que le plongeon a été rapporté dans les principaux médias financiers, SQUID a été projeté sous les feux de la rampe et est devenu une pièce populaire dont on parle beaucoup. Les détenteurs sont actuellement engagés dans une campagne d'"auto-assistance communautaire", espérant profiter de l'emballement de l'équipe du projet pour obtenir plus de décentralisation et d'autonomie communautaire pour le projet.

Il n'y a aucun moyen de savoir quels seront les résultats finaux de la campagne d'"auto-assistance". Cependant, après une analyse approfondie du code du contrat SQUID, nous avons constaté que le projet SQUID est encore assez risqué.

Risques subsistant dans le contrat SQUID

Une analyse du code du contrat montre que SQUID n'est pas aussi décentralisé que certains rapports le prétendent et qu'il reste deux points à risque.

1 : Il y a plusieurs adresses qui détiennent de grandes quantités de jetons et il y a toujours le risque d'un dumping massif.


En regardant les statistiques dans la section "Holder" (https://bscscan.com/token/0x87230146E138d3F296a9a77e497A2A83012e9Bc5#balances) sur bscscan.com, vous constaterez que les trois premières adresses détiennent toujours près de 30% des jetons et sont libres de tout gel ou restriction lorsqu'il s'agit de vendre leurs jetons. Le deuxième coup dur peut survenir à tout moment.

2 : Risques cachés dans le code du contrat.

En interrogeant les variables lisibles dans le contrat, vous pouvez voir que le propriétaire du contrat SQUID Token (0x87230146E138d3F296a9a77e497A2A83012e9Bc5) a été changé en une adresse de trou noir (0x00000000000000000000000000000000000000000000), ce qui signifie que personne ne peut se voir accorder l'autorité d'émettre des jetons supplémentaires.


Le propriétaire du projet peut avoir transféré les droits de propriété par le biais de renounceOwnership (comme indiqué ci-dessous) pour rendre le jeton plus "décentralisé".


Mais où était le code logique qui aurait pu empêcher les transferts importants au début de la mise en œuvre du projet ? Après avoir analysé le code, nous avons constaté que ce code logique n'existe plus. S'il existait, il devrait être écrit dans le code sous la forme "_beforeTokenTransfer".


Mais ce n'est pas le cas, "_beforeTokenTransfer" est maintenant une fonction vide :


Cela signifie que quelqu'un a apporté des modifications au code du contrat.

Sur la base du code, nous avons constaté que le contrat SQUID applique le protocole "EIP-1967 : Standard Proxy Storage Slots" (https://eips.ethereum.org/EIPS/eip-1967). Cela signifie que le code du contrat peut être mis à jour à tout moment. La logique de base de la mise à niveau est présentée ci-dessous :


Lorsque le contrat a été initialisé, le projet a spécifié un rôle nommé "_sir". Ce rôle permet de mettre à jour le code du contrat à tout moment, en remplaçant la logique de traitement du contrat tout en conservant les données du contrat. Par exemple : Dégeler les jetons gelés, réassigner un propriétaire, émettre des dizaines de milliards de jetons supplémentaires, etc. est toujours très possible.


Quelle est donc l'adresse correspondante du " _sir " et est-elle remplaçable ?

Dans le code du contrat, aucune méthode de lecture n'est prévue pour cette adresse, et il n'y a aucune possibilité de la modifier. Au lieu de cela, elle est stockée silencieusement dans le "slot" suivant (comme indiqué ci-dessous) :


Grâce à la nature open-source de la blockchain, nous pouvons écrire du code pour lire toutes les données de la chaîne, y compris l'adresse réelle de "_sir" : 0x6BdB3b0fd9F39427a07b8ab33Bac32Db67EB4E38.

S'il s'agissait d'une adresse de trou noir ou d'un timelock, le contrat serait beaucoup plus sûr. Mais malheureusement, "_sir" peut initier une transaction à tout moment et mettre à jour le code du contrat à tout moment. Ainsi, le fait que le propriétaire soit spécifié comme une adresse de trou noir signifie que les risques liés au contrat ne peuvent être résolus.

Conclusion
Les risques liés au contrat SQUID Game peuvent être résumés comme suit.

1 : Les jetons sont toujours concentrés dans plusieurs adresses et il y a une possibilité d'un deuxième "rug pull".

2 : Le code du contrat peut être mis à jour à tout moment. Cela pourrait impliquer des opérations telles que l'émission d'un grand nombre de jetons supplémentaires.

Il existe de nombreux projets sans scrupules qui se frayent un chemin sur la scène en profitant des projecteurs sociaux. Beaucoup d'entre eux ont tendance à arnaquer les investisseurs grâce à la nature intraçable des crypto-monnaies. Ceux qui n'ont pas une bonne compréhension des crypto-monnaies, et qui manquent de connaissances en termes d'arnaques, pourraient facilement tomber dans le panneau. Il est conseillé de faire preuve de plus de discernement et d'essayer de négocier sur des plateformes importantes et fiables pour éviter les fraudes.

SQUID a explosé en raison de la couverture médiatique qu'il a reçue après s'être écrasé, sans que le propriétaire ne soit visible nulle part. La situation pourrait se rétablir, mais les risques restent élevés. SQUID s'effondrera-t-il à nouveau ou renaîtra-t-il sous l'action de la campagne d'"auto-assistance" de la communauté ? Attendons de voir.


Auteur : GateChain - Vincent
*Cet article ne représente que le point de vue du chercheur et ne constitue pas un conseil d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.