BonkDAO a subi une attaque de gouvernance qui a drainé environ 20 millions de dollars en jetons BONK de sa trésorerie après qu'un attaquant a dépensé environ 4 millions de dollars pour acquérir un pouvoir de vote. L'attaque a été divulguée le 6 juillet par BonkDAO, l'organisation de gouvernance décentralisée associée au memecoin BONK basé sur Solana. Selon le communiqué officiel du projet, l'attaquant a manipulé le processus de gouvernance de la DAO en utilisant un vote pondéré par les jetons pour approuver une proposition qui a redirigé les actifs de la trésorerie, sans exploiter de vulnérabilité de contrat intelligent. Cet incident met en lumière les défis de sécurité croissants dans les organisations autonomes décentralisées où les mécanismes de gouvernance peuvent devenir des vecteurs d'attaque lorsque le coût d'acquisition du contrôle de vote est inférieur à la valeur des actifs contrôlés.
Les rapports indiquent que l'attaquant a accumulé suffisamment de BONK pour influencer le vote avant d'exécuter la proposition via le système de gouvernance de BonkDAO, qui utilise l'infrastructure de gouvernance Realms de Solana. Une fois approuvée, la proposition a permis le transfert d'environ 20 millions de dollars en BONK depuis la trésorerie communautaire. L'incident ne provenait pas d'une vulnérabilité dans les contrats intelligents du protocole. Au lieu de cela, l'attaquant a utilisé le vote pondéré par les jetons pour approuver une proposition malveillante qui a redirigé les actifs de la trésorerie. Les enquêteurs de la blockchain ont ensuite tracé des parties des fonds volés se dirigeant vers des plateformes d'échange de crypto-monnaies.
Les aspects économiques rapportés étaient frappants. Un attaquant qui a dépensé environ 4 millions de dollars pour obtenir une influence de vote suffisante a pu autoriser le transfert d'actifs d'une valeur environ cinq fois supérieure. Contrairement aux exploits de contrats intelligents classiques, les attaques de gouvernance ne nécessitent pas nécessairement de casser le code du protocole. Au lieu de cela, les attaquants exploitent les règles régissant la création de propositions, les seuils de vote et l'exécution de la trésorerie.
La plateforme d'échange sud-coréenne Upbit a suspendu les dépôts et retraits de BONK après l'incident tout en surveillant les mouvements potentiels des actifs compromis. Le mouvement des jetons volés vers les plateformes d'échange a accru les inquiétudes concernant une éventuelle pression de liquidation si les actifs sont vendus sur le marché.
L'attaque a immédiatement pesé sur le sentiment du marché, le BONK chutant de plus de 9 % après la divulgation de la perte de trésorerie. Pour BonkDAO, le défi va au-delà de la récupération des fonds volés. L'incident affecte directement la confiance dans le modèle de gouvernance de la DAO et sa capacité à protéger les actifs contrôlés par la communauté.
L'incident soulève des questions sur les pratiques de sécurité des DAO. Les verrous temporels, les approbations multi-signatures, les périodes d'examen des propositions, les mécanismes de veto d'urgence et des exigences de quorum plus élevées sont couramment utilisés pour réduire le risque de gouvernance. Là où ces protections sont faibles ou absentes, la gouvernance pondérée par les jetons peut devenir vulnérable à des prises de contrôle hostiles par des participants bien capitalisés.
Que s'est-il passé avec la trésorerie de BonkDAO le 6 juillet ?
BonkDAO a divulgué une attaque de gouvernance qui a drainé environ 20 millions de dollars en jetons BONK de sa trésorerie. Un attaquant a dépensé environ 4 millions de dollars pour acquérir suffisamment de pouvoir de vote afin de faire passer une proposition malveillante qui a redirigé les actifs de la trésorerie via le système de gouvernance de la DAO.
Comment l'attaquant a-t-il drainé les fonds de BonkDAO ?
L'attaquant a accumulé suffisamment de jetons BONK pour influencer le vote, puis a exécuté une proposition via le système de gouvernance de BonkDAO en utilisant l'infrastructure de gouvernance Realms de Solana. La proposition approuvée a permis le transfert d'environ 20 millions de dollars en BONK depuis la trésorerie communautaire sans exploiter aucune vulnérabilité de contrat intelligent.
Quelle action Upbit a-t-elle prise après l'attaque de BonkDAO ?
La plateforme d'échange sud-coréenne Upbit a suspendu les dépôts et retraits de BONK après l'incident tout en surveillant les mouvements potentiels des actifs compromis que les enquêteurs de la blockchain ont tracés se dirigeant vers des plateformes d'échange de crypto-monnaies.
Actualités associées
Les portefeuilles du gouvernement allemand envoient Bitcoin à Kraken et Coinbase
Gate Daily (7 juillet) : Trump laisse entendre que Bitcoin sera inclus dans le « compte Trump » ; BonkDAO attaqué par une proposition de gouvernance malveillante
Summer Finance met en pause les coffres après une attaque de prêt flash de 65,4 millions de dollars provoquant une perte de $6M .