Après ses piratages récents, Bored Ape Yacht Club se penche enfin sur une faille « volontaire » dans le code de leur collection NFT. Une ligne de code permettant de créer des Bored Ape en illimité…
Comment générer des Bored Ape en illimité
Il y a 1 an, peu de temps après la création de la collection à succès, la communauté Bored Ape Yacht Club avait remonté une partie du code qui mettait à mal leurs investissements.
Cette partie du contrat Ethereum donnait la possibilité, à Yuga Labs (le studio derrière Bored Ape Yacht Club), de générer des NFT Bored Ape en illimité, bien au-delà des 10 000 actuellement générés.
Les détenteurs de ces singes en NFT auraient donc pu essuyer des pertes conséquentes si Yuga Labs ou une personne tierce avait exécuté ce code permettant la création de NFT Bored Ape en illimité.
En ayant accès au code un pirate aurait pu notamment augmenter l’offre à l’infini pour faire cracher volontairement les prix de tous les Bored Ape.
BAYC n’avait pas tardé à rassurer sa communauté en affirmant sur parole qui n’exécuterai jamais ce code. Une garantie peu rassurante qui n’a pas empêché le prix de monter très rapidement durant l’année...
En effet, à l’époque le prix plancher des jpeg de singe était alors de 6eth, environ 9000€, soit 15 fois moins qu’aujourd’hui.
La réaction tardive de Yuga Labs
Malgré le silence radio de Yuga Labs sur ce sujet, la communauté a été alertée le 5 juin 2022 par un compte twitter.
@foobar, développeur NFT, a expliqué que les quelques lignes de codes permettant de générer une quantité illimitée de Bored Ape n’avaient jamais été supprimées puisque celles-ci étaient encore présente dans le code du contrat.
There is a single private key out there that can mint an infinite number of new OG @BoredApeYC at any time.
— foobar | Clusters (@0xfoobar) June 5, 2022
If the token contract owner (a personal wallet, not a multisig) gets hacked or phished, you might see thousands of new bored apes minted and dumped onto the market pic.twitter.com/CLZGaDz1Yx
À la suite de cette mise en garde, le co-fondateur de Yuga Labs a réagi quelques jours après indiquant qu’ils avaient enfin réglé le problème :
« Le code du contrat a maintenant été supprimé. Nous avions l'intention de le faire depuis longtemps, nous ne l'avions pas fait par excès de prudence. Je me sentais prêt pour le faire maintenant. Terminé. En d’autres termes : le problème signalé est désormais réglé. »
Au prix actuel, cet « excès de prudence » aurait pu faire perdre des millions voire des milliards à tous les détenteurs de Bored Ape si un pirate avait eu accès au contrat…