Attaque de gouvernance du DAO Bonk : un mystérieux individu dépense 4,4 millions de dollars pour « légalement » détourner 20 millions de dollars

Un voleur agit au grand jour : il a dépensé environ 4,4 millions de dollars pour acheter plus de 1 % de BONK, atteignant le seuil de vote, puis a soumis une proposition intitulée « Réforme de la gouvernance », qui contenait en réalité une ligne cachée : « Transférer 4,43 billions de BONK vers mon portefeuille ». Cette proposition est restée plusieurs jours sur le forum de BonkDAO sans être remarquée. Seulement 7 adresses sur les 18 000 disposant d’un droit de vote ont participé. L’attaquant a voté pour lui-même, le contrat intelligent du DAO a exécuté la décision, et environ 20 millions de dollars de BONK ont ainsi été « légalement » retirés du trésor.

(Contexte précédent : L’escalade de la gouvernance d’ENS : le cofondateur propose de déléguer 5 millions d’ENS pour diluer le droit de vote d’un gros détenteur) (Contexte complémentaire : Solana lance le mécanisme de gouvernance on-chain SGP : seuls les validateurs détenant plus de 100 000 SOL peuvent soumettre des propositions)

Résumé

  • L’attaquant a dépensé environ 4,4 millions de dollars pour acquérir plus de 1 % de BONK, atteignant le seuil de vote
  • La proposition incluant le transfert de 4,43 billions de BONK est restée plusieurs jours sans être détectée ; seulement 7 votes sur 18 000 adresses
  • Le contrat intelligent a exécuté la décision, vidant le trésor d’environ 20 millions de dollars de BONK ; le prix du BONK a chuté d’environ 10 %

Le monde des cryptos a un nouvel exemple de « vol légal ». Cet incident n’a impliqué aucun piratage, aucune fuite de clé privée : l’attaquant a suivi de bout en bout le système de vote de BonkDAO. Il a d’abord dépensé environ 4,4 millions de dollars pour acheter plus de 1 % des BONK (environ 88,23 milliards de BONK), franchissant ainsi le seuil de vote et lui permettant de décider du résultat avec une seule voix. Aucune étape de ce processus n’était « illégale », et c’est ce qui fait vraiment froid dans le dos.

Une « attaque » en bonne et due forme

Le scénario de l’attaque est d’une simplicité incroyable. Première étape : acheter suffisamment de BONK (1 %) pour obtenir le droit de vote. Deuxième étape : soumettre une proposition intitulée « Réforme de la gouvernance ». Troisième étape : glisser dans le contenu de la proposition une phrase cachée indiquant le véritable objectif : transférer 4,43 billions de BONK vers son propre portefeuille.

Encore plus raffiné : la proposition était rédigée comme un slogan, parlant de « reconstruire à partir des cendres, monétiser les positions, stopper les pertes », et ajoutait même une ligne disant « ceux qui voteront pour recevront des tokens » comme appât.

18 000 adresses, seulement 7 votes

Si la proposition a été adoptée, ce n’est pas grâce à la rhétorique, mais parce que personne ne regardait. Le forum de gouvernance de BonkDAO était déjà peu actif, et avec le marché baissier, personne n’y prêtait attention. La proposition est restée plusieurs jours sans être dénoncée. À la clôture du vote, seulement 7 des 18 000 adresses éligibles avaient voté, et les votes de l’attaquant représentaient près de 99,878 % du poids total.

Le résultat final : environ 88,23 milliards de voix pour, dépassant le seuil d’environ 88 milliards. Le seuil a été franchi avec une très faible marge. Ce nombre de votes pour correspondait presque exactement aux positions que l’attaquant avait progressivement achetées ces derniers jours. Une fois le seuil atteint, le contrat intelligent a immédiatement exécuté le transfert, retirant environ 20 millions de dollars de BONK du trésor.

Dépenser 4,4 millions de dollars pour récupérer 20 millions : un ratio de retour sur investissement proche de 1 pour 5. Ce « business » offre un rendement scandaleusement élevé.

BonkDAO a déclaré par la suite avoir identifié le portefeuille d’échange utilisé par l’attaquant pour acheter les tokens, et collaborer avec l’échange, le pont inter-chaînes et la Solana Foundation pour gérer les conséquences. Le prix du BONK a chuté d’environ 10 % suite à l’annonce.

Questions fréquentes

Comment l’attaque de gouvernance de BonkDAO s’est-elle produite ?

L’attaquant a dépensé environ 4,4 millions de dollars pour acheter plus de 1 % des BONK, atteignant le seuil de vote, puis a soumis une proposition intitulée « Réforme de la gouvernance » qui contenait en réalité le transfert de 4,43 billions de BONK. En raison de l’inactivité du forum, personne ne l’a remarquée, et seulement 7 portefeuilles ont voté pour l’adopter. Le contrat intelligent a automatiquement transféré environ 20 millions de dollars.

Cette attaque de gouvernance est-elle considérée comme un piratage ?

Strictement parlant, non. L’attaquant n’a pas infiltré le système ni volé de clés privées ; chaque étape était une transaction valide, exploitant simplement une faille de conception de la gouvernance. Le problème vient de l’absence de seuil de vote minimum, de verrouillage temporel et de mécanismes de multi-signatures, permettant à 7 portefeuilles de décider du sort d’un trésor de 20 millions de dollars.

BONK-5,30%
ENS-2,97%
SOL-4,79%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé