Crypto Prices

L’attaque de gouvernance de BONK : Comment un DAO a perdu 20 millions de dollars à cause d’une proposition malveillante

il y a 2 heures
2 mins read
1 vues

Incident de BonkDAO : Une leçon de gouvernance

Personne n’a piraté quoi que ce soit. Aucun contrat intelligent n’a échoué, aucune clé privée n’a été divulguée, et aucun lien de phishing n’a été activé. Le 6 juillet, le trésor de BonkDAO, l’organisation communautaire derrière l’un des memecoins phares de Solana, a transféré environ 20 millions de dollars en BONK vers un portefeuille contrôlé par un attaquant. Chaque étape du transfert était une transaction valide, exécutée exactement comme le prescrivaient les règles du DAO.

L’attaquant n’a pas brisé le système de gouvernance ; il l’a acheté pour environ 4,4 millions de dollars, avec un retour implicite de près de cinq pour un, lors d’un vote où sept portefeuilles ont participé, tandis que plus de 18 000 membres ne l’ont pas fait. Cet épisode est la preuve la plus claire à ce jour d’une vérité inconfortable que l’industrie a passé des années à ignorer : un trésor gouverné par un vote pondéré par des tokens vaut exactement le coût de l’assemblage d’une majorité temporaire.

Le mécanisme de l’attaque

L’attaque n’était pas rapide, et elle n’était pas cachée. Le 30 juin, un portefeuille anonyme a soumis une proposition au système de gouvernance de BonkDAO, qui fonctionne sur Realms, l’outil standard de DAO de Solana. La proposition, intitulée BIP #76, se présentait comme un plan de renouvellement de gouvernance, habillant le vol dans le langage de la gestion de retournement.

Elle incluait même une ligne notant que les votants favorables seraient éligibles pour recevoir des tokens, un détail qui, avec le recul, ressemble à une blague sombre sur la conception des incitations.

La proposition est restée active pendant six jours. Pendant cette période, l’attaquant a méthodiquement accumulé du pouvoir de vote, dépensant environ 4,4 millions de dollars pour acheter des BONK via des portefeuilles d’échange. Le 6 juillet, l’attaquant a voté avec la mise assemblée, et le décompte final a montré 882,38 milliards de BONK en faveur, contre un seuil de quorum de 879,95 milliards.

Conséquences et réflexions

Les conséquences, avec des échanges gelant des dépôts, des forces de l’ordre notifiées, et un débat philosophique sur la question de savoir si cela constituait un vol, façonneront la manière dont chaque DAO détenant un trésor sur chaque chaîne réécrira ses règles au cours de l’année prochaine.

Le premier échec se situe dans l’absence de verrouillage temporel, de veto multisig, et d’une conception de quorum adéquate. BonkDAO détenait environ 15 % de tous les BONK en circulation, mais le coût de contrôle était dérisoire par rapport à la valeur du trésor.

La capture n’est pas un bogue. C’était le marché des votes lui-même.

Réactions et implications

Le débat sur la légalité de l’incident a également émergé. Un camp soutient que l’attaquant a suivi chaque règle, tandis que l’autre, incluant BonkDAO lui-même, argue que la proposition était frauduleuse.

Les défenseurs de la gouvernance par DAO doivent maintenant faire face à des questions cruciales sur la responsabilité et la sécurité. Les verrouillages temporels et les conseils de veto deviennent des pratiques essentielles pour éviter de futures captures.

Conclusion

Le verdict du marché a été rapide mais contenu. BONK a chuté entre 8 et 10 % lors de la divulgation, mais plusieurs facteurs ont limité les dégâts. La récupération, si elle se produit, se fera aux points de blocage, et la première semaine a montré à la fois leur pouvoir et leurs limites.

Chaque trésor DAO sur chaque chaîne a maintenant une citation publique pour ce que sa gouvernance vaut : le prix du marché de son quorum. Si ce chiffre est inférieur au trésor, le trésor n’est pas possédé, il est loué, et le loyer est ce qu’un attaquant paie pour les votes.

Avertissement : Cet article est informatif, et ne constitue pas un conseil d’investissement.