Quelqu’un d’autre a-t-il remarqué que chaque grande attaque de gouvernance suit le même cycle ?


Une faiblesse est exposée, des millions sont perdus, l’industrie promet d’apprendre, puis quelques mois plus tard un autre protocole répète la même erreur.
Les attaques de gouvernance ne sont pas nouvelles, et la partie inquiétante, c’est que l’industrie comprend déjà comment elles se produisent, mais la question plus difficile que personne ne veut aborder, c’est pourquoi les mêmes correctifs continuent de rester sur une étagère.
Build Finance DAO a perdu environ $500K en février 2022 et n’a jamais récupéré ; Beanstalk a perdu $182M deux mois plus tard via une attaque de gouvernance par flash loan ; Tornado Cash DAO a vu sa gouvernance saisie en 2023 via un contrat de proposition malveillant ; GreenField DAO a perdu $31M en 2025 en reprenant exactement le playbook de flash-loan de Beanstalk trois ans plus tard ; et, il y a seulement quelques jours, BonkDAO a perdu $20M sans même avoir besoin d’un flash loan.
Pas d’exploit compliqué, pas de vulnérabilité inconnue : juste 4,4 millions de dollars en échange achetant et sept portefeuilles gagnant assez d’influence pour contrôler une décision impliquant plus de 18 000 membres.
Des protocoles différents, des années différentes, mais la même leçon continue de se répéter.
La partie inconfortable, c’est que les correctifs existent depuis des années.
Les timelocks d’exécution, les multisigs du trésor, les votes fondés sur snapshot et les protections de quorum ne sont pas de nouvelles idées : ce sont des pratiques de sécurité de base déjà utilisées par de grands protocoles DeFi comme Compound, Aave et Uniswap.
Le problème n’est pas que la crypto ne sait pas comment corriger la gouvernance.
Le problème, c’est que corriger la gouvernance entre souvent en conflit avec les incitations des personnes qui gèrent ces systèmes.
Parce que la décentralisation est aussi un récit.
Beaucoup de projets veulent que les utilisateurs croient que les décisions sont entièrement pilotées par la communauté et sans confiance, mais ajouter des garde-fous revient à admettre que des humains sont encore nécessaires pour protéger le système.
Un timelock protège le trésor contre les attaquants, mais il ralentit aussi les fondateurs et les équipes qui veulent des décisions plus rapides, et cela crée un arbitrage difficile : la même vitesse qui semble efficace en période favorable peut devenir la raison pour laquelle des millions disparaissent quand quelque chose tourne mal.
La finance traditionnelle a une autre différence : quand une entreprise ignore un risque connu et perd l’argent des actionnaires, il y a généralement des conséquences, on peut remettre en question les conseils d’administration et la responsabilité peut être retracée, mais dans beaucoup de DAO, cette responsabilité reste encore floue.
Le coût d’ignorer la sécurité est souvent de zéro jusqu’au jour où il devient des millions.
La plus grande ironie, c’est que les correctifs de gouvernance nécessitent une gouvernance elle-même.
Vous avez besoin d’un vote pour améliorer le système de vote ; vous avez besoin de participation pour résoudre le faible taux de participation, mais beaucoup de protocoles DeFi ont déjà du mal à mobiliser les votants, ce qui crée une boucle où la même faiblesse qui rend les attaques possibles empêche aussi la solution.
Le problème n’est pas seulement technique, il est aussi humain.
Beaucoup de DAO ne mettent pas à niveau la sécurité quand ils sont petits parce qu’ils pensent ne pas être des cibles, mais quand le token grandit, le trésor devient précieux, et le contrôle de la gouvernance devient rentable : la faiblesse devient alors soudainement évidente.
La sécurité arrive généralement après l’attaque, pas avant.
Et chaque exploit réussi crée une feuille de route pour le prochain attaquant.
Les vrais dégâts ne sont pas seulement l’argent volé : c’est la leçon qui se diffuse dans l’ensemble de l’industrie.
La vérité inconfortable, c’est que ce n’était jamais une question de quels DAO allaient être attaqués, c’était une question de quels DAO n’ont pas encore été attaqués.
Si votre trésorerie vaut plus que le coût de contrôler votre gouvernance, alors vous n’êtes pas protégé par la décentralisation : vous êtes protégé parce que vous n’êtes pas remarqué.
« Le code, c’est la loi » n’a jamais été un argument contre la sécurité : ça a fini par devenir une excuse pour ignorer la couche humaine de la crypto.
Les DAO qui survivront aux cinq prochaines années ne seront pas ceux qui ont le meilleur marketing sur la décentralisation : ce seront ceux qui comprendront que la gouvernance n’est pas juste une fonctionnalité.
Mais une surface d’attaque🧘‍♂️
AAVE-3,90%
UNI-2,35%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé