Utilisation des cryptomonnaies Meme pour blanchir les fonds d'un projet Rug Pull : révélations sur l'identité réelle du manipulateur derrière PEPE
TechFlow SélectionTechFlow Sélection
Utilisation des cryptomonnaies Meme pour blanchir les fonds d'un projet Rug Pull : révélations sur l'identité réelle du manipulateur derrière PEPE
Pourquoi les gens ordinaires ne peuvent-ils pas faire partie des premiers à embarquer et saisir la « pièce à 10 000x » ?
Dédié à des analyses Web3 approfondiesTexte original | NFTethics
Compilation | Odaily Planet Daily
Si vous êtes un passionné des cryptomonnaies Meme, vous avez certainement entendu parler du projet le plus populaire de l'année : PEPE, ainsi que les mythes liés à la fortune qu'il a générée. Par exemple, certains prétendus « Smart Money » auraient investi 100 dollars dès le lancement de PEPE et n’auraient jamais vendu, réalisant ainsi des gains multipliés par dizaines de milliers (données blockchain à l'appui).
Pourquoi les gens ordinaires ne peuvent-ils pas être parmi les premiers à monter à bord et saisir ces « pièces à 10 000x » ? Parce que dans ce type de projet, seuls les manipulateurs tirent tous les bénéfices : ils achètent au plus bas et s’échappent au sommet. Pire encore, certains projets Meme sont créés initialement pour blanchir de l'argent sale.
Récemment, l’utilisateur X (anciennement Twitter) « NFTethics » a publié plusieurs longs fils détaillés, utilisant une analyse minutieuse de la chaîne ainsi que diverses preuves complémentaires pour identifier l’identité réelle du manipulateur derrière PEPE.
Voici un résumé des points clés de ses publications :
1. Les fonds du projet AnubisDAO victime d’un Rug Pull en novembre 2021 ont été blanchis via le projet PEPE, très populaire cette année, sous la direction cachée de Sisyphus, un investisseur DeFi anonyme et connu.
2. L’identité réelle de Sisyphus est Kevin Pawlak, responsable de OpenSea Ventures, dont le mode de vie est aujourd’hui luxueux ;
3. Sisyphus (c’est-à-dire Kevin Pawlak) était le véritable instigateur du projet AnubisDAO : il aurait obtenu illégalement la clé privée du gestionnaire du projet, transféré les fonds et trouvé un bouc émissaire pour éviter toute poursuite.
La dernière information est que le porte-parole d’OpenSea a répondu à ces allégations : « Kevin Pawlak a quitté OpenSea en juin 2023. Pendant son temps chez OpenSea, ses responsabilités étaient limitées, occupant un poste non managérial. Nous ignorons s’il a participé à l’affaire du Rug Pull d’AnubisDAO. En outre, nous n’avons aucun lien avec ces projets, ni aucune information pertinente, car ces activités ont eu lieu avant son arrivée chez OpenSea. »
1. Le blanchiment des fonds du Rug Pull d’Anubis via la montée en puissance de PEPE
Revenons en novembre 2021. Le projet AnubisDAO (jeton ANKH), copie du protocole OlympusDAO, a levé 13 256,4 ETH (environ 57 millions de dollars à l’époque) via un LBP (Piscine de Liquidité Guidée). Mais peu de temps après, les gestionnaires découvrent que les fonds ont été transférés vers une nouvelle adresse. À ce moment-là, le LBP fonctionnait depuis 20 heures, bien avant la fin prévue.
Quel rôle joue notre personnage principal, Sisyphus, dans AnubisDAO ? Officiellement ambassadeur du projet, mais en réalité son véritable cerveau (comme nous le verrons plus loin).
La veille du vol des fonds d’AnubisDAO, Sisyphus faisait encore la promotion effrénée du projet sur Discord, affirmant avoir déjà investi 420 000 dollars (retenez bien ce chiffre, ça tombera au contrôle) et prévoyant d’en acheter davantage. Pour rassurer la communauté, il assurait que le projet ne ferait jamais de Rug Pull, et que même en cas de problème technique, tout le monde récupérerait son investissement initial.
(Enregistrement de la communication communautaire de Sisyphus)
Le lendemain, le projet a effectivement fait un Rug Pull. Sisyphus a rapidement publié un long texte pour se disculper, affirmant avoir contacté les autorités américaines et celles de Hong Kong, et appelant le hacker à rendre l’argent. Après cela, plus aucune nouvelle. Il a cessé toute mise à jour sur AnubisDAO, comme si les 420 000 dollars n’étaient qu’une petite perte.
Bien sûr, le hacker n’a jamais rendu les fonds d’AnubisDAO. Au cours des deux dernières années, ces fonds ont été progressivement transférés vers divers mixers et plateformes sans KYC pour être blanchis. Un portefeuille spécifique (Anubis Rug 3) a interagi avec FixedFloat, une plateforme aux Seychelles ne nécessitant pas de KYC — les frais de gaz étant même envoyés directement par FixedFloat. Comme illustré ci-dessous :
(Anubis Rug 3)
Ce qui est intéressant, c’est que les premiers détenteurs de PEPE ont également reçu leurs fonds initiaux via FixedFloat, notamment Zach Testa (compte : DegenHarambe) et Max Zim (compte : SumFattyTuna). En particulier, Zach Testa a acheté PEPE quelques minutes seulement après le déploiement du contrat le 14 avril, puis a tweeté sur le projet ; trois minutes plus tard, Max Zim a retweeté et acheté lui aussi PEPE. Tout s’est déroulé de manière extrêmement fluide, comme si tout avait été soigneusement orchestré.
Les liens entre Sisyphus, Zach Testa et Max Zim sont étroits. On dit que Zim était ancien colocataire de Sisyphus. Avant le Rug Pull d’AnubisDAO, le portefeuille de Sisyphus avait déjà interagi financièrement avec celui de Zim. Ils ont même participé ensemble à une interview — Sisyphus n’apparaissant pas en personne.
(Historique des transactions entre portefeuilles)
Le 17 avril, Sisyphus a tweeté : « Ce week-end, quelqu’un a transformé 0,02 ETH en 63 ETH grâce à un jeton appelé "pepe" », accompagné d’une adresse commençant par 0x5DD. Zim a immédiatement répondu au tweet de Sisyphus, entamant une interaction entre eux.
Ce qui est frappant, c’est que l’adresse commençant par 0x5DD a reçu ses fonds initiaux de FixedFloat le 7 avril. Par ailleurs, ce même jour, une autre version du jeton « PEPE » (appelée aPEPE pour la distinguer) a été lancée, partageant le même contrat et les mêmes premiers détenteurs que la version actuelle. Zim a acheté aPEPE dès son lancement le 7 avril — mais lors d'une interview communautaire ultérieure, il a affirmé n’avoir jamais entendu parler de PEPE auparavant. Apparemment, Zim savait dès le départ que PEPE allait exploser.
(Zim affirme lors d’une interview n’avoir jamais entendu parler de PEPE)
Les coïncidences ne s’arrêtent pas là. Deux minutes après qu’Anubis Rug 3 ait transféré 3 000 ETH, le portefeuille de Zim a commencé à acheter PEPE. Une enquête a révélé que chaque fois que les portefeuilles liés à Anubis Rug étaient actifs, le portefeuille de Zim semblait simultanément exécuter des opérations liées à PEPE.
(Activité synchronisée entre le portefeuille de Zim et ceux d’Anubis Rug)
De plus, les fonds d’Anubis ont principalement été blanchis via des plateformes comme Stake ; or, les portefeuilles associés à PEPE ont transféré massivement des fonds vers Stake juste après le lancement de PEPE (le 14 avril), puis vers FixedFloat. La majorité des fonds volés d’Anubis ont été retirés entre mars et juillet de cette année, coïncidant presque parfaitement avec le cycle de développement de PEPE, indiquant un lien profond entre les deux. Il est probable que les fonds volés aient été blanchis via la spéculation autour de PEPE.
L’itinéraire complet des fonds volés d’Anubis reste à confirmer, nécessitant une collaboration entre CEX et plateformes OTC — une partie des fonds ayant atterri sur des plateformes avec KYC. Le lien entre les fonds d’Anubis et la spéculation autour de PEPE doit encore être pleinement établi par davantage de preuves.
Un détail supplémentaire : en août de cette année, des tensions internes ont éclaté au sein de l’équipe PEPE, plusieurs anciens membres ayant supprimé les permissions multisignatures pour vendre leurs jetons. Finalement, l’équipe officielle a publié un communiqué ambigu.
2. Sisyphus dirigeait Anubis et a orchestré lui-même le Rug Pull
Le blogueur « NFTethics » s’est procuré les messages internes des membres de l’équipe Anubis quelques jours avant le vol des fonds.
D’après l’enquête, Sisyphus semble être le véritable chef du projet : presque toutes les décisions devaient être approuvées par lui, y compris le contenu exact des tweets et chaque question technique ou financière. Le Rug Pull aurait été sciemment organisé par Sisyphus, qui a réussi à faire porter le chapeau à un autre membre, Beerus.
(Répartition des tâches dans l'équipe)
Dans la répartition des rôles, Sisyphus se définissait comme « chargé des relations publiques et de l’unité des membres du DAO », mais en réalité, c’était lui qui donnait les ordres.
Un membre de l’équipe, « AureliusBTC », a déclaré dans la discussion : « Aucun d’entre nous ne comprend vraiment le LBP, mais tant que Sisyphus sait, c’est suffisant. » Lorsque « Beerus » a annoncé publiquement l’arrivée d’un nouveau membre dans Anubis, Sisyphus lui a aussitôt demandé de supprimer le tweet, ce que Beerus a fait. Sisyphus a également mentionné dans les messages avoir des contacts avec Alameda Research (la société cryptographique de SBF), qui aurait acheté des jetons ANKH d’Anubis.
(Sisyphus explique les détails du LBP)
Revenons à l’événement du drain de liquidité d’Anubis. Après coup, Sisyphus a affirmé publiquement : « Les membres du DAO ont accepté que Beerus déploie le LBP, car ils n’avaient ni le temps ni l’envie de s’en occuper. » Pourtant, aucune preuve dans les discussions internes ne soutient cette affirmation. En réalité, Sisyphus avait d’abord vanté l’utilisation du « meilleur multisignature de l’histoire », puis plus tard prétendu ne pas pouvoir signer — ce qui suggère qu’il aurait pu modifier le système pour que Beerus soit seul contrôleur, préparant ainsi l’attaque. Voici la chronologie des événements :
-
Dans la nuit du 28 octobre, Sisyphus annonce vouloir dormir six heures, son dernier message datant de 00:16 ;
-
Le lendemain matin, il revient dans la discussion à 07:18, répondant à quelques questions ;
-
À 07:20, l’e-mail de Beerus, détenteur des droits de gestion du LBP, reçoit un PDF contenant un SAFT (Simple Agreement for Future Tokens), envoyé depuis l’adresse e-mail de Sisyphus. Après les faits, Beerus affirmera que ce PDF contenait un cheval de Troie ayant compromis son ordinateur et volé les droits de gestion du LBP ;
-
À 07:26, Sisyphus discute avec Beerus pendant un moment, le rappelant à rester vigilant jusqu’à la fin du LBP, conversation prolongée jusqu’à 07:44, soit quatre heures avant la fin du LBP ;
-
À 07:48, les fonds du LBP sont vidés : tous les ETH sont transférés vers une nouvelle adresse par le compte gestionnaire, ne laissant que des jetons ANKH sans valeur.
Selon l’enquête postérieure, ni le contrat intelligent de Copper ni celui de Balancer n’ont été piratés. Cela signifie que soit le portefeuille de Beerus, créateur du LBP, a été réellement compromis comme il l’a affirmé, soit il a simulé l’attaque. Sisyphus, quant à lui, nie catégoriquement avoir envoyé cet e-mail.
(Beerus affirme avoir reçu un e-mail malveillant)
Qui ment ? Examinons des indices indirects. Premièrement, Beerus n’est pas le seul à avoir reçu l’e-mail : d’autres contacts VC l’ont également reçu. La différence ? Beerus a reçu le PDF à 07:20, tandis que les autres l’ont reçu une demi-heure plus tard, voire plusieurs heures après. Une explication possible est que l’attaquant a envoyé massivement les e-mails pour brouiller les pistes, tout en laissant suffisamment de temps à Beerus pour ouvrir le PDF et activer le malware.
Deuxièmement, l’analyse des autres PDF reçus ne révèle aucun avertissement anti-usurpation. SPF ne marque pas l’adresse Gmail sauf si elle est falsifiée. Or, selon les éléments visuels, l’e-mail provient très probablement d’une adresse réelle. Autrement dit, les e-mails ont bien été envoyés depuis l’adresse réelle de Sisyphus — alors que ce dernier jure n’avoir rien envoyé, feignant même l’ignorance dans le groupe en demandant : « Qu’est-ce que ça veut dire ? »
Troisièmement, l’analyse des autres e-mails montre qu’aucun ne contenait de virus — seul celui de Beerus semblait infecté. Plus tard, il a remis son ordinateur à la police de Hong Kong pour prouver son innocence (aucune mise à jour depuis, l’affaire semble classée sans suite).
Question cruciale : comment l’attaquant savait-il que Beerus détenait les droits de gestion du LBP ? Hormis quelques initiés, personne ne savait que Beerus était (le seul) détenteur du contrôle. En effet, Convex, un autre membre de l’équipe Anubis, a souligné dans le chat : « Pourquoi Beerus aurait-il reçu un logiciel malveillant ? Cibler lui n’a aucun sens. Tout le monde sait que moi et aureliusBTC sommes les développeurs, donc plus susceptibles de détenir les clés privées. Personne de l’extérieur ne connaît le rôle précis de Beerus. »
Encore plus troublant : Sisyphus a demandé à Beerus : « Mon gars, tu as cliqué sur quoi ? » Or, Beerus n’avait pas encore révélé avoir ouvert le PDF malveillant, personne d’autre ne le savait — comment Sisyphus pouvait-il être au courant ?
Après le vidage du LBP, Sisyphus a accusé Beerus d’avoir commis le Rug Pull, déclarant : « Tu as ruiné ma réputation. » Il a même publié l’adresse IP de l’attaquant, affirmant qu’elle provenait de Hong Kong, où vivait Beerus — en réalité, cette IP provenait d’un fournisseur VPS tiers, permettant de louer des serveurs dans différentes régions, ce qui la rend inutilisable comme preuve. Plus tard, l’identité réelle de Beerus a été révélée : il s’agit du fils de Cheung Shun-cheng, figure connue dans le monde des courses hippiques de Hong Kong, âgé alors de 19 ans.
Un autre détail : Max Zim, l’un des premiers participants à PEPE mentionné précédemment, a également participé au lancement d’Anubis. Après les faits, il a défendu Sisyphus sur Twitter, ce qui n’est guère étonnant vu leur relation étroite.
3. Sisyphus crée un nouveau compte : son identité réelle est Kevin Pawlak, responsable de OpenSea Ventures
Comme mentionné plus haut, Sisyphus, qui prétendait avoir investi 420 000 dollars dans Anubis, n’a montré aucune tristesse après le Rug Pull. Après avoir publié un long texte pour se disculper, il a cessé de suivre l’affaire.
Le 6 novembre (une semaine après l’attaque), Sisyphus a créé un nouveau compte Twitter sous le pseudonyme « 0xMagallan » (désormais supprimé). Ce compte a été extrêmement actif ces deux dernières années, publiant plus de 5 000 messages, participant à diverses campagnes marketing, possédant deux adresses : ferdinand-magellan.eth et ukrainedonations.eth.
En réalité, Sisyphus (Kevin Pawlak) a été impliqué dans d'autres controverses. Par exemple, il a acheté le NFT coûteux Etherrock 72, l’a fractionné via le protocole Fractional sous forme de jetons PEBBLE, puis les a vendus à une prime très élevée. En termes d’ETH, la valeur des jetons PEBBLE a chuté de plus de 99 % depuis leur pic. Le projet a fermé en 2023, mettant fin à toutes ses activités ; le site pebble.xyz est désormais expiré et mis en vente.
Pendant longtemps, personne n’a vu le visage ni trouvé d’informations sur Sisyphus ou 0xMagallan. Pourtant, « NFTethics » a pu confirmer leur identité réelle via diverses données blockchain et sources multiples : il s’agit bien de Kevin Pawlak, responsable de OpenSea Ventures.
Kevin Pawlak
Premièrement, les horodatages des adresses pawlak.eth et sisyphus.eth correspondent parfaitement. Les données blockchain montrent qu’ils ont frappé des Zorbs (ZORB) à une minute d’intervalle, et qu’ils ont frappé des sismo.eth DAO (SDAO) dans un délai de 10 minutes, avec d’autres opérations rapprochées dans le temps, indiquant une activité quasi-synchrone.
Curieusement, Kevin Pawlak utilisait souvent son compte « Sisyphus » pour publier des critiques sur OpenSea — peut-être pour exercer une pression afin qu’OpenSea lance un projet dont il pourrait bénéficier, ou simplement pour se plaindre.
De nombreuses personnes, dont Tim Copeland du média The Block, confirment que l’identité réelle de Sisyphus est bien Kevin Pawlak — en réalité, cela est un secret de polichinelle dans certains cercles.
Il a maintenant renommé son portefeuille en pawlak.eth. Adresse du portefeuille :
0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb.
Kevin Pawlak est intelligent : finaliste du concours scientifique Intel, diplômé en génie chimique, il voulait devenir chirurgien ou chercheur. Pourtant, ceux qui le connaissent mentionnent son côté sombre : impitoyable, immoral, antisocial, capable de mentir sans scrupules ni regrets.
En octobre dernier, Kevin Pawlak a acheté une autre propriété à New York pour 3,3 millions de dollars. Selon des sources, il a récemment acheté en France une Rolls-Royce et une Lamborghini (d’une valeur totale supérieure à 1 million de dollars), et se vante en privé de sa richesse et de son mode de vie luxueux.
(La nouvelle maison de Kevin Pawlak)
À ce jour, Kevin Pawlak (Sisyphus) n’a pas répondu publiquement aux interrogations. En cas de nouvelles informations, Odaily Planet Daily suivra l’actualité en temps réel.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Odaily
