Comment Pauly a transformé Pond0x en le piège le plus élaboré de la cryptosphère (Et a gagné 450 ETH en le faisant)

La configuration : Quand les frais de gas atteignent 400 Gwei

Tout a commencé dans le chaos. Le matin du 29 juillet 2023, les frais de gas d’Ethereum ont explosé à 360 gwei, puis ont continué à grimper. La congestion du réseau était hors normes. Quelque chose se passait, mais personne en dehors de quelques cercles sur Crypto Twitter ne savait quoi.

Puis une capture d’écran a commencé à circuler. Un gars nommé 0xSun avait posté dans un groupe WeChat : « Honnêtement, je n’ai aucune idée de ce qui se passe. J’ai mis 1 ETH sur ce site et, d’une manière ou d’une autre, j’ai continué à vendre 44,5 ETH. Je ne faisais que continuer. »

Un rendement de 44,5x sur une memecoin en quelques heures ? C’est là que les gens ont commencé à creuser.

L’appât : un site qui n’était pas vraiment un swap

L’URL menait à Pond0x, un projet lancé par Pauly — oui, ce Pauly. Celui qui est devenu célèbre (infamous?) pour avoir essentiellement instrumentalisé le sentiment anti-BAYC en toute une marque.

Pauly a tweeté l’adresse du contrat et le site à 00h29 :

Welcome To Pond0x • $PNDX Contract : 0x1d4214081985ad20aa3ca93a2206ae792635cbec

Les degens de memecoin ont immédiatement afflué. Mais voici où ça devient piquant : le site n’était en réalité pas un swap. Il en avait l’apparence, mais en dessous ? Des mécaniques de farming de liquidité pures.

Quand vous pensiez acheter du PNDX sur le site, vous injectiez en fait de l’ETH comme liquidité dans une ferme LP PEPE. Vous receviez un PID (pool ID) et un multiplicateur qui déterminait votre part. Les données on-chain montraient « Mine Liquidity » (miner de la liquidité), pas « Transfer » — si vous saviez où regarder.

Le piège : la théorie du jeu à son apogée

Décomposons ce que Pauly a réellement fait ici :

Phase 1 - Les initiés gagnent : Les premiers joueurs comme 0xSun, qui comprenaient les mécaniques, ont obtenu du PNDX à des prix incroyablement bas via le site. Ils faisaient de l’argent à gogo.

Phase 2 - Le site tombe en panne : Avec l’afflux massif de trafic, le site a crashé à cause de la congestion. Les retardataires n’ont pas pu y accéder. Leur seule option : aller directement sur Uniswap et acheter via l’adresse du contrat.

Phase 3 - La boucherie : Ces acheteurs tardifs achetaient simplement dans une mer de pression vendeuse provenant des gagnants de la Phase 1. Le FOMO a été écrasé par l’offre.

Pauly savait que la majorité des gens suivent les adresses de contrat via Twitter plutôt qu’en vérifiant le site. Il a conçu la « sacrifice » : les premiers joueurs intelligents ont fait de l’argent, les acheteurs FOMO tardifs sont devenus la liquidité d’exit.

Un analyste a résumé : « L’essence d’un excellent projet n’est pas de faire gagner tout le monde — c’est de faire gagner ses utilisateurs clés. » Pauly a compris ça.

Le rebondissement : une vulnérabilité du code qui devient nucléaire

Mais l’histoire ne s’arrête pas là. À 00h57, @YazanXBT a posté que les tokens PNDX disparaissaient des portefeuilles. Beaucoup d’utilisateurs ont signalé la même chose — leurs sacs étaient en train d’être drainés.

Les chercheurs en sécurité ont identifié le problème : le code du contrat avait une vulnérabilité critique dans sa fonction de transfert. Les attaquants pouvaient manipuler les calculs de gas pour transférer les tokens de n’importe qui. C’était en gros une porte ouverte.

Ce qui a suivi, c’était le chaos total. Les utilisateurs ont commencé à exploiter la faille pour voler les uns aux autres. Les frais de gas ont atteint plus de 400 gwei. C’était une crise totale.

Pendant ce temps, les adresses de Pauly (realpond0xdev.eth & 0x36…40BC) avaient déjà empoché leur profit et s’étaient déconnectées. Les données on-chain montrent qu’ils ont extrait plus de 450 ETH de toute cette histoire.

Qui est vraiment Pauly ?

Ce gars n’est pas nouveau pour semer la pagaille. Voici son historique :

Les guerres BAYC : Quand Bored Ape Yacht Club a été mêlé à la controverse sur l’imagerie nazie, (légitime critique de Ryder Ripps sur le symbolisme des singes/La simianisation), Pauly a pris le parti de Ryder. Ils ont créé RR/BAYC — une série miroir dédiée à ridiculiser BAYC. Elle a même dépassé les volumes d’OpenSea. Yuga Labs les a poursuivis pour violation de copyright.

Pas Larva Labs : Pauly a fondé ça comme un doigt d’honneur direct à CryptoPunks et Larva Labs. Quand CryptoPunks a refusé d’accorder des licences CC0 et a limité l’usage commercial aux détenteurs, Pauly a lancé CryptoPhunks — des images presque identiques mais inversées. Le message de la licence : « Il est temps que les NFT soient réellement décentralisés. »

yougetnothing.eth : En mai, Pauly a créé une adresse ENS et a demandé à la communauté d’envoyer de l’ETH sans aucune promesse de retour. Les gens ont envoyé 600 ETH quand même. C’était une critique sociale déguisée en test — une façon de voir si les gens donneraient à n’importe quoi s’ils pensaient que des récompenses d’airdrop pourraient suivre.

La vraie question

Pond0x est-il une arnaque ? De l’art ? Une expérience sociale ?

Probablement tout cela à la fois.

Pauly ne semble pas se soucier des règles traditionnelles. Il conçoit des systèmes qui récompensent ceux qui lisent les petits caractères et punissent ceux qui FOMOent à l’aveugle. Il mène des expériences permanentes sur les structures d’incitation crypto et le comportement humain.

Mais voici le truc : même si vous pensez que Pauly est un génie pour avoir orchestré tout ça, il porte quand même la responsabilité d’avoir publié un code avec des vulnérabilités connues. Et les utilisateurs qui se sont fait avoir ? Oui, faire des recherches avant de jouer est une « auto-cultivation » — mais il est aussi irréaliste d’attendre de tout le monde qu’il reverse-engineère des smart contracts avant d’acheter.

L’incident Pond0x résume en gros la crypto : les règles ne sont pas ce qu’elles semblent, les premiers à bouger font de l’argent, les retardataires se font liquider, et tout le monde apprend la théorie des jeux à la dure.