Introduction
Le 6 juillet 2026, un individu a dépensé environ quatre millions de dollars pour acquérir des jetons BONK, les utilisant pour contrôler presque 100 % d’un vote à partir de sept portefeuilles, et a ainsi réussi à siphonner vingt millions de dollars du trésor du DAO. Aucun code n’a été piraté. Le vote a fonctionné exactement comme prévu. Cet article explique comment fonctionnent les attaques de gouvernance, pourquoi elles deviennent de plus en plus fréquentes et ce qui peut réellement les empêcher.
Comprendre les attaques de gouvernance
La plupart des vols de cryptomonnaies exploitent une vulnérabilité : un bug dans un contrat intelligent, une clé volée, ou un site web falsifié. En revanche, une attaque de gouvernance ne nécessite pas de piratage. Elle utilise le système de vote d’une organisation décentralisée, exactement comme prévu, pour faire passer une proposition qui permet à l’attaquant de s’approprier le trésor. Le code fonctionne parfaitement. Les règles sont respectées à la lettre. Et l’argent disparaît quand même, car les règles elles-mêmes le permettent.
C’est ce qui est arrivé à BonkDAO le 6 juillet 2026. Un attaquant a discrètement acheté environ quatre millions de dollars de jetons BONK sur des échanges pendant plusieurs jours, accumulant ainsi une part dominante du pouvoir de vote, avant de soumettre une proposition au trésor du DAO. Lorsque le vote s’est terminé, les portefeuilles liés à l’attaquant contrôlaient environ 99,878 % des votes exprimés. La proposition a été adoptée, et environ vingt millions de dollars en BONK ont été transférés du trésor vers des portefeuilles contrôlés par l’attaquant. Seules sept adresses ont voté. Il n’y a pas eu d’exploitation au sens habituel ; il s’agissait d’une prise de contrôle, réalisée par des moyens légitimes.
Les mécanismes des attaques de gouvernance
Les attaques de gouvernance deviennent de plus en plus courantes précisément parce qu’elles ne nécessitent aucune compétence technique d’élite, seulement du capital et un système de vote mal défendu. Un nombre croissant de DAOs, dont beaucoup sont des projets de memecoin avec des trésors disproportionnés, détiennent de grandes réserves derrière de tels systèmes.
Une organisation autonome décentralisée, ou DAO, remplace les dirigeants et les conseils d’administration par un vote des détenteurs de jetons. Les détenteurs du jeton de gouvernance soumettent des propositions, d’autres détenteurs votent, et si une proposition atteint le seuil requis, un contrat intelligent l’exécute automatiquement. Les propositions peuvent ajuster des paramètres, mettre à niveau le code ou déplacer des fonds du trésor. L’attrait réside dans le fait qu’aucune personne unique ne contrôle le résultat ; la communauté le fait, de manière transparente et sur la chaîne.
Cas d’étude : BonkDAO
L’attaque de BonkDAO de juillet 2026 est une illustration presque parfaite, car elle n’a utilisé aucun exploit et chaque étape était visible sur la chaîne.
La préparation était une accumulation patiente. Pendant plusieurs jours, l’attaquant a acheté environ quatre millions de dollars de BONK en utilisant des portefeuilles d’échange, construisant progressivement le pouvoir de vote au lieu d’un seul achat conspicieux.
L’exécution était une proposition au trésor. L’attaquant a soumis une proposition de gouvernance et l’a laissée en ligne pendant six jours, la fenêtre de vote normale. Ici, la faiblesse fatale s’est manifestée : presque personne d’autre n’a voté. Lorsque la fenêtre s’est fermée, seules sept adresses de portefeuille avaient participé, et les portefeuilles contrôlés par l’attaquant détenaient environ 99,878 % du poids total des votes. La proposition a été adoptée, et le contrat intelligent du DAO a fait ce que font les propositions adoptées : il a exécuté, déplaçant environ vingt millions de dollars en BONK du trésor vers les portefeuilles de l’attaquant.
Les défis de la gouvernance décentralisée
Les suites ont suivi le scénario désormais familier. BonkDAO a retracé les portefeuilles d’échange utilisés pour accumuler les jetons et a commencé à travailler avec des échanges, des ponts inter-chaînes, la fondation du réseau et les forces de l’ordre pour tenter de récupérer les fonds. Cependant, les récupérations d’attaques de gouvernance sont notoirement difficiles, précisément parce que le vol a été exécuté par le biais du propre processus légitime du DAO, et non par un exploit qui pourrait être inversé.
Les attaques de gouvernance partagent une logique mais se présentent sous plusieurs formes, distinguées principalement par la manière dont l’attaquant acquiert le pouvoir de vote et la rapidité avec laquelle il frappe.
Conclusion
Les attaques de gouvernance exploitent la conception, pas le code, et les défenses relèvent de la conception des mécanismes. Un DAO bien configuré peut rendre une attaque non rentable même s’il ne peut pas la rendre impossible. Les verrouillages temporels, les exigences de quorum, et les contrôles d’urgence sont des mesures essentielles pour protéger les trésors des DAOs contre de telles attaques.
La leçon de vingt millions de dollars de BonkDAO est que la boîte à suggestions, entre de mauvaises mains et avec suffisamment de jetons derrière elle, ouvre le coffre-fort.