BonkDAO subit une attaque de gouvernance : comment l'attaquant a-t-il utilisé 4,4 millions de dollars pour déplacer 20 millions de dollars de la trésorerie du DAO ?

Le 6 juillet 2026, le projet BonkDAO, un des principaux memecoins de l'écosystème Solana, a subi une attaque malveillante de gouvernance. L'attaquant, via une proposition de gouvernance malveillante, a transféré environ 20 millions de dollars en jetons BONK depuis le trésor de la DAO. Contrairement aux attaques traditionnelles exploitant des failles de contrats intelligents, cette attaque a entièrement utilisé le mécanisme de gouvernance on-chain de la DAO — l'attaquant a dépensé environ 4,4 millions de dollars pour acheter des jetons BONK afin d'obtenir suffisamment de droits de vote, puis a fait passer la proposition unilatéralement et exécuté le transfert de fonds. Cet événement a non seulement provoqué une forte baisse du prix du BONK, mais a également suscité une réflexion approfondie dans l'industrie sur le cadre de sécurité de la gouvernance des DAO.

Comment l'attaquant a-t-il volé 20 millions de dollars via un vote de gouvernance ?

L'origine de cette attaque remonte au 30 juin. Un portefeuille anonyme a soumis une proposition intitulée "BIP 76 - Sowellian BonkDAO" sur la plateforme de gouvernance Realms de l'écosystème Solana. La proposition prétendait mettre en œuvre un nouveau plan de gouvernance, "reconstruire à partir des ruines" et "liquider les positions", mais son véritable objectif était de transférer environ 4,426 billions de jetons BONK (d'une valeur d'environ 20 millions de dollars) vers un portefeuille contrôlé par l'attaquant. Selon les règles de gouvernance de BonkDAO, l'adoption d'une proposition nécessite d'atteindre un quorum de 1 % de l'offre totale de BONK en votes favorables, soit environ 879,95 milliards de jetons BONK. L'attaquant a dépensé environ 4,4 millions de dollars pour acheter exactement le nombre de jetons BONK nécessaire à ce seuil, entre le 4 et le 5 juillet, via plusieurs bourses. Le vote s'est terminé le 6 juillet. Les données montrent que seulement 7 portefeuilles ont participé au vote, tandis que BonkDAO compte plus de 18 000 membres n'ayant pas voté, avec un taux de participation de seulement 2,9 %. L'adresse contrôlée par l'attaquant détenait 99,878 % du poids de vote, et la proposition a été adoptée avec 99,9 % de votes "favorables". Après l'adoption, environ 20 millions de dollars en BONK ont été automatiquement transférés du trésor vers le portefeuille de l'attaquant. Une fois le transfert effectué, l'attaquant a également renommé la DAO en "Sowellian BonkDAO".

Pourquoi la gouvernance pondérée par les jetons est-elle le talon d'Achille de la sécurité des DAO ?

L'essence de cette attaque est l'exploitation malveillante d'une faille inhérente au mécanisme de vote pondéré par les jetons. L'attaquant n'a découvert aucune faille de contrat intelligent, ni contourné aucun mécanisme de cryptage — il s'est contenté d'acheter des jetons sur le marché public, de soumettre une proposition et de voter pour. Chaque étape était "légale" sur la chaîne, mais leur combinaison constitue un vol. Le problème central réside dans la conception de gouvernance "acheter et voter immédiatement". Si le mécanisme de gouvernance permet aux utilisateurs d'acheter des jetons le jour même et de les utiliser pour voter le jour même, l'attaquant a une opportunité de "raid éclair". Dans des cas plus extrêmes, si le protocole ne prend pas en charge les mécanismes anti-flash loan, l'attaquant peut même obtenir instantanément une énorme quantité de jetons via un emprunt pour voter. Entre 2025 et 2026, plusieurs protocoles sur Solana et d'autres chaînes ont subi des attaques similaires de manipulation de gouvernance, les failles de flash loan étant particulièrement courantes. Une autre vulnérabilité clé de l'attaque de BonkDAO est le faible taux de participation. Plus de 18 000 membres n'ont pas participé au vote, permettant à l'attaquant de faire passer une proposition impliquant 20 millions de dollars d'actifs du trésor avec seulement 7 portefeuilles et un taux de participation de 2,9 %. Cela révèle une contradiction profonde : le pouvoir de gouvernance de la DAO appartient théoriquement à tous les détenteurs de jetons, mais en pratique, l'apathie des votants concentre le pouvoir de gouvernance entre les mains d'une minorité de participants actifs.

Où les fonds ont-ils été dirigés après l'attaque ? Pourquoi Upbit a-t-il suspendu les dépôts et retraits ?

Après l'attaque, les jetons BONK volés ont rapidement commencé à être transférés vers plusieurs bourses de cryptomonnaies. Les données on-chain montrent qu'environ 9 heures après la fin de l'attaque, environ 188 000 dollars ont été envoyés vers une bourse, probablement pour être liquidés ; le reste, environ 19 millions de dollars, a été transféré vers un portefeuille multisig nécessitant plusieurs approbations pour transférer les fonds. Le flux des fonds volés vers les bourses a directement déclenché une réaction au niveau du marché. La bourse sud-coréenne Upbit a annoncé la suspension temporaire des dépôts et retraits de BONK après l'événement, afin de limiter la circulation potentielle des actifs volés sur sa plateforme. Cette mesure est courante lors d'attaques majeures sur des jetons — les attaquants tentent généralement de convertir les actifs volés en cryptomonnaies plus liquides ou de les transférer via des plateformes centralisées avant que les opérations de traçage ne deviennent efficaces. BonkDAO a indiqué avoir informé les forces de l'ordre et collabore avec les bourses, les ponts inter-chaînes, la Solana Foundation et les autorités compétentes pour tracer les fonds volés et explorer les possibilités de récupération. Cependant, une fois les jetons transférés vers plusieurs plateformes, échangés contre d'autres actifs ou routés via des mélangeurs, la difficulté de récupération augmente considérablement.

Pourquoi le prix du BONK a-t-il chuté de plus de 9 % après la divulgation de l'attaque ?

Le marché a réagi rapidement et directement à l'événement de vol du trésor. Selon les données de Gate, au 7 juillet 2026, le BONK avait chuté de plus de 9 % après la divulgation de l'attaque. Les données de The Block montrent que le début des flux de BONK volés vers les bourses a exercé une pression baissière directe sur le prix du jeton.

La baisse de prix reflète deux niveaux d'inquiétude du marché. Le premier niveau est la perte directe du trésor — les 20 millions de dollars représentent une part considérable des actifs du trésor de BonkDAO, et l'épuisement du trésor affecte directement la durabilité des futures initiatives communautaires et des événements de destruction de jetons. Le deuxième niveau est la pression potentielle de vente — le marché craint que l'attaquant ne tente de vendre les jetons volés sur des bourses centralisées, ce qui, en cas de vente massive, aurait un impact supplémentaire sur la liquidité et le prix du BONK. Il est à noter que BONK, en tant que l'un des memecoins les plus connus sur Solana, a une notoriété qui dépasse le cadre typique du trading de memecoins, étant inclus dans certains produits négociés en bourse. Cette position sur le marché amplifie l'impact destructeur de l'attaque de gouvernance — le vol du trésor provoque non seulement des fluctuations de prix, mais aussi une crise de confiance dans la gouvernance interne et la capacité de contrôle des risques du projet.

De BonkDAO à la norme de l'industrie : l'évolution des attaques de gouvernance des DAO

L'attaque de BonkDAO n'est pas un cas isolé, mais le dernier exemple en date d'une vague d'attaques de gouvernance des DAO entre 2025 et 2026. Ces attaques montrent une tendance nette : les attaquants passent de l'exploitation de failles de contrats intelligents à la manipulation "dans les règles" des mécanismes de gouvernance. Premièrement, l'asymétrie entre le coût et le gain de l'attaque devient de plus en plus marquée. Dans cette attaque, l'attaquant n'a dépensé qu'environ 4,4 millions de dollars pour acheter des jetons, mais a détourné environ 20 millions de dollars d'actifs du trésor, avec un effet de levier proche de 5 fois. Cette asymétrie fait des attaques de gouvernance un vecteur d'attaque très attractif. Deuxièmement, les méthodes d'attaque passent des failles techniques aux failles institutionnelles. Contrairement aux attaques DeFi traditionnelles qui reposent sur des techniques telles que les attaques par réentrance ou la manipulation d'oracles, les attaques de gouvernance exploitent les règles elles-mêmes. Cela rend ces attaques plus difficiles à classer et à prévenir — ce ne sont pas des "failles de code", mais des "failles institutionnelles". Troisièmement, les attaques s'accélèrent vers une "industrialisation". Le 7 juillet 2026, juste avant et après l'attaque de BonkDAO, la société de sécurité blockchain Blockaid a également identifié une attaque active contre le protocole de rendement DeFi Summer.fi, avec environ 6 millions de dollars drainés. Les attaques de gouvernance et les failles de sécurité frappent l'ensemble de l'écosystème financier décentralisé avec une fréquence et une ampleur croissantes.

Quelles sont les lignes de défense clés pour la sécurité du trésor d'une DAO ?

L'attaque de BonkDAO expose plusieurs lacunes dans la conception de la sécurité de la gouvernance des DAO. Il est largement admis dans l'industrie que les mécanismes de sécurité suivants devraient devenir la configuration standard de la gestion du trésor des DAO. Le verrou temporel est l'une des lignes de défense les plus élémentaires. Le verrou temporel impose un délai entre l'adoption d'une proposition et son exécution effective, donnant à la communauté, aux développeurs et aux chercheurs le temps de détecter et d'empêcher toute opération anormale. BonkDAO manquait d'un mécanisme efficace de retard d'exécution, ce qui a permis le transfert presque immédiat des fonds après l'adoption de la proposition. La multisignature est une autre barrière essentielle. En contrôlant les fonds du trésor via un portefeuille multisignature, exigeant l'approbation conjointe de plusieurs signataires de confiance pour exécuter des transferts importants, on peut efficacement empêcher une proposition malveillante unique d'épuiser directement le trésor. Le mécanisme d'arrêt d'urgence constitue la dernière ligne de défense. Une multisignature de gardiens élus par la gouvernance peut annuler les propositions malveillantes ou erronées pendant la fenêtre de verrouillage temporel. Ce mécanisme est déjà mis en pratique dans des projets matures comme ENS DAO. De plus, le mécanisme d'instantané des droits de vote peut prévenir le mode d'attaque "acheter et voter immédiatement" — en déterminant l'éligibilité au vote au moment de la soumission de la proposition plutôt qu'au moment du vote, l'attaquant ne peut pas acheter temporairement des jetons pour obtenir des droits de vote pendant la fenêtre de vote. L'augmentation du seuil de quorum peut également empêcher efficacement la manipulation de la gouvernance en cas de faible participation.

Résumé : la leçon de gouvernance à 20 millions de dollars

L'événement de vol de 20 millions de dollars de BonkDAO est l'un des incidents de sécurité de gouvernance des DAO les plus représentatifs de 2026 jusqu'à présent. Il a démontré de manière quasi "didactique" la vulnérabilité fatale du mécanisme de gouvernance pondérée par les jetons en l'absence de mesures de sécurité complémentaires — l'attaquant n'a pas besoin de casser du code, il lui suffit de comprendre les règles et de les exploiter. Les implications de cet événement pour l'industrie sont multiples. Pour les projets DAO, la conception du mécanisme de gouvernance ne doit pas se limiter à l'idéal de "décentralisation", mais doit intégrer des mécanismes de sécurité tels que le verrou temporel, la multisignature, l'arrêt d'urgence, et l'instantané des droits de vote comme configuration standard obligatoire pour la gestion du trésor. Pour les détenteurs de jetons, la participation à la gouvernance n'est pas une option mais une obligation — un faible taux de participation est en soi la plus grande faille de sécurité. Pour l'industrie, les attaques de gouvernance des DAO passent d'incidents isolés à un risque systémique, nécessitant l'établissement de normes de sécurité de gouvernance et de cadres d'audit plus complets. L'incertitude demeure quant à la possibilité de récupérer les fonds volés. Mais ce qui est certain, c'est que ce coût de 20 millions de dollars pousse l'ensemble de l'industrie à réexaminer la logique sous-jacente de la sécurité de la gouvernance des DAO.

FAQ

Q : Combien l'attaquant a-t-il dépensé exactement lors de l'attaque de BonkDAO ?

L'attaquant a dépensé environ 4,4 millions de dollars pour acheter des jetons BONK, afin d'atteindre le seuil de quorum de 1 % des votes de gouvernance. Grâce à ces jetons, l'attaquant a obtenu 99,878 % du poids de vote.

Q : Cette attaque a-t-elle exploité une faille de contrat intelligent ?

Non. Cette attaque a entièrement utilisé le mécanisme de gouvernance on-chain de la DAO, et non une faille de code de contrat intelligent. L'attaquant a effectué le transfert de fonds dans le cadre des règles, en achetant légalement des jetons, en soumettant une proposition et en votant.

Q : Où se trouvent actuellement les fonds volés ?

Les jetons BONK volés, d'une valeur d'environ 20 millions de dollars, ont commencé à être transférés vers plusieurs bourses de cryptomonnaies après l'attaque. Environ 188 000 dollars ont été envoyés vers une bourse, probablement pour être liquidés, et le reste, environ 19 millions de dollars, a été transféré vers un portefeuille multisig.

Q : Pourquoi Upbit a-t-il suspendu les dépôts et retraits de BONK ?

La bourse sud-coréenne Upbit, après avoir détecté le début des flux de BONK volés vers les bourses, a annoncé la suspension temporaire des dépôts et retraits de BONK afin de limiter le transfert potentiel des actifs volés via sa plateforme.

Q : Comment les projets DAO peuvent-ils prévenir des attaques de gouvernance similaires ?

L'industrie recommande généralement que les projets DAO mettent en place des mesures de sécurité telles que le verrou temporel (délai d'exécution des propositions), la multisignature (approbation multiple pour les transactions importantes), le mécanisme d'arrêt d'urgence (pouvoir d'annulation des propositions malveillantes) et l'instantané des droits de vote (empêcher l'achat temporaire de votes).

Q : Comment se comporte actuellement le prix du BONK ?

Selon les données de Gate, au 7 juillet 2026, le BONK a chuté de plus de 9 % après la divulgation de l'attaque, et se négocie actuellement à 0,00000426 $.

SOL1,69%
BONK-7,14%
ENS1,38%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé