Un million de dollars : c’est la somme que les créateurs du projet « Blockverse », un serveur de jeu Minecraft s’appuyant sur des NFT, ont réussi à dérober grâce à un procédé malicieux auprès de milliers de petits investisseurs. Mais ce n’est rien comparé à la perte d’un galeriste new-yorkais qui a vu son portefeuille de NFT, valorisé à plus de 2 millions de dollars, se volatiliser dans la nature. Victime d’un phishing, son appel à l’aide à la place de marché OpenSea, sur laquelle se sont échangés les NFT, n’aura permis de récupérer que quelques-unes de ses précieuses œuvres.
Ces cas ne sont pas isolés, et les escroqueries impliquant des crypto-actifs sont en réalité courantes au sein de l’écosystème émergeant autour de la blockchain. Ces actifs numériques virtuels ont pourtant vu le jour sur la promesse que, en supprimant les intermédiaires, les transactions effectuées soient fiables, sécurisés et infalsifiables, rendant en pratique impossible tout vol ou usurpation d’identité. En effet, la blockchain repose un registre de transactions réparti sur de nombreux nœuds, qui communiquent entre eux suivant un protocole permettant d’établir des consensus sur les nouvelles transactions, qui sont inscrites par bloc dans une chaîne de données. Dans des conditions normales d’utilisation, la blockchain parvient à éliminer les risques de falsification des transactions a posteriori : ainsi, une fois une entrée du registre validée dans un bloc de chaîne, elle ne peut être altérée ou supprimée. S’ajoute à cela l’anonymat des transactions, du fait de l’identification des deux parties par des clés aléatoires qui ne sont pas nominatives, et à partir desquels personne, sauf son possesseur, peut remonter à son propriétaire.
Fort de ces constats, est-ce que les qualités des crypto-actifs permettent de limiter les risques d’escroquerie et d’usage malintentionné comparées à des actifs classiques échangés via un tiers de confiance ?
Les escroqueries liées aux crypto-actifs se diversifient de plus en plus
Le cas « Blockverse » évoqué en introduction est l’archétype d’une arnaque de type « rug pull ». Dans ce type de cas de figure, des actifs numériques, en lien avec un projet fantôme qui sert d’appât, souvent ambitieux et prometteur, sont créés et vendus à des amateurs intéressés par l’écosystème des projets cryptos. En pratique, les créateurs du projet mettent en vente des NFT en quantité limitée, ou récoltent des cryptomonnaies dans un modèle de crowdfunding, et proposent en échange un avantage exclusif aux acquéreurs, tel qu’un objet virtuel dans le jeu ou l’accès à du contenu additionnel. Ce type de vente suscitant généralement la curiosité, les arnaqueurs n’ont pas de mal à vendre rapidement leurs cryptos actifs et à des prix élevés qui permettent ensuite de rentabiliser leur entreprise. Ainsi pour « Blockverse », l’ensemble des pass se sont vendus en moins d’une journée alors même qu’il n’existait rien de tangible sur le projet : pas de prototype ni pas de démonstration. Après la vente, le piège se referme sur les acquéreurs quand le projet disparait d’Internet, et les créateurs cessant de répondre aux messages de leur communauté, et l’argent collecté s’envole dans la nature. Ce vol est d’autant plus agaçant pour les acquéreurs qu’ils ne peuvent revenir sur leur transaction pour l’annuler, ou faire appel à la justice qui les protège pourtant dans le droit, du fait de l’impossibilité de remonter à la personne physique qui les a escroqués.
Surfant sur la vague lancée en 2021, la contrefaçon de NFT est une autre manière de s’enrichir rapidement en escroquant des particuliers. En effet, il est désormais à la portée de n’importe qui de créer un NFT lié à une œuvre numérique et de le mettre en vente sur une place de marché comme OpenSea : il suffit de consulter les nombreux tutoriels existants pour se rendre compte de la facilité d’une telle démarche. Les jetons non fongibles (NFT) fonctionnent comme un titre de propriété sur un bien numérique, généralement une image. Il n’existe cependant pas de lien direct entre le NFT et le bien numérique : le titre de propriété n’est valable que pour ceux qui le reconnaissent légitime et valable. Ainsi, il est parfaitement possible de créer un NFT à partir d’une œuvre dont on ne possède pas les droits, et de la mettre en vente sur une place de marché. Ces dernières ne vérifient en effet pas la légitimité du créateur à procéder à la mise en vente. Ainsi, une collection de NFT faussement attribuée à Banksy, le célèbre street-artist, a été vendue pour plus d’un million de dollars, sur la place de marché Rarible. Des férus de ses œuvres, croyant découvrir une installation inédite et innovante, se sont empressés d’acheter … ce qui se sont révélés être des faux, et dont l’authenticité a été démentie par Banksy lui-même. Dans leur malheur, les acquéreurs n’ont toutefois pas tout perdu : suite au retentissement médiatique qu’a généré l’affaire, la valeur de ces fausses œuvres n’est pas totalement retombée à zéro.
Ces deux types d’arnaques ne sont pas les seuls existants : il existe d’autres fraudes courantes, comme la manipulation de cours des cryptomonnaies ou encore le piratage de portefeuille de cryptomonnaies.
Des arnaques aux airs de déjà-vu
De manière évidente, la popularisation des NFT et crypto-actifs, les attentes toujours plus grandes vis-à-vis de leur potentiel technologie et les montants toujours plus importants des transactions rend inévitable les comportements malveillants. Cependant, leur succès révèle que les propriétaires des crypto-actifs comprennent mal la technologie sous-jacente, et surestiment le champ sur lequel s’appliquent leurs caractéristiques : sécurité et infalsifiabilité. En croyant être couverts par cela, ils manquent de précaution et ne réalisent pas les vérifications élémentaires précédant toute transaction : s’informer sur l’autre partie et sa crédibilité à réaliser la transaction et ses contreparties et réaliser un audit en cas de doute sur des projets trop innovants.
Il est intéressant de noter que ces arnaques n’ont, elles, rien d’innovant. Elles sont la transposition dans le paradigme blockchain de schémas déjà connus et éprouvés depuis deux décennies sur internet. Cependant, dans le cas des crypto-actifs, aucune action ne peut être entreprise sans modifier la technologie, soit l’anonymat ou la réversibilité des transactions. Or, il faut rompre l’un des deux si l’on souhaite se prémunir des actes malveillants. Par nature, la blockchain ne peut permettre la réversibilité des transactions : il convient donc de rompre l’anonymat. Une solution se dessine alors : le passage par un tiers de confiance, qui gèrera l’accès à la blockchain, dans un modèle fermé, et fera le lien entre les identités réelles et virtuelles des usagers. Ainsi en cas de litige, des actions légales pourront être engagées en remontant simplement à l’identité réelle des personnes impliqués via le tiers de confiance. Même si cela est contraire à l’esprit de décentralisation et de suppression des intermédiaires, c’est un moyen viable de permettre le passage à l’échelle et la démocratisation pérenne de cette technologie.
La régulation comme levier de protection supplémentaire
Si la promesse de transparence et de sécurité des crypto-actifs, et au sens large des applications de la blockchain, est bien réelle, il convient de bien connaître son périmètre de validité pour ne pas s’exposer à des escroqueries. Il faut également garder en tête que les crypto-actifs ne sont que des outils, et qu’ils ne sont souhaitables qu’en tant qu’ils sont utilisés à bon escient.
Compte tenu des applications potentielles des crypto-actifs, notamment des NFT dans le métavers, ces univers virtuels immersifs, l’enjeu d’introduire un certain contrôle des transactions, éventuellement en insérant un tiers de confiance, semble plus que jamais d’actualité. Certains États ont d’ailleurs déjà commencé à légiférer pour encadrer leurs usages, comme à Monaco où les entreprises souhaitant développer des activités de prestation de services sur les crypto-actifs devront désormais disposer d’un agrément spécifique.