Solana : une attaque de gouvernance contre BonkDAO siphonne 20 millions de dollars
Résumé du marché par IA
Une proposition de gouvernance malveillante, pondérée en jetons, aurait siphonné ~20 M$ de la trésorerie de BonkDAO après qu'un attaquant a accumulé un bloc de vote d'environ 4 M$, mettant en évidence un risque de captation de la gouvernance plutôt qu'une défaillance des smart contracts. L'incident sape la confiance dans la sécurité de la trésorerie de la DAO liée à BONK et pourrait entraîner des contrôles d'urgence (gels, dérogations via multisig, quorums/délais de blocage plus stricts). À court terme, le sentiment peut s'affaiblir sur la gouvernance des memecoins de Solana, les participants réévaluant les hypothèses de dilution et de protection de la trésorerie.
Niveau d'impact
● Élevé
Actifs concernés
1000BONK/USDT-5.91%
Infos de l'IA · 1000BONK/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
BonkDAO a subi mardi une ponction d'environ 20 millions de dollars sur sa trésorerie, provoquée par une unique proposition de gouvernance malveillante. L'épisode met en évidence la fragilité des mécanismes de vote pondéré par les jetons sur Solana.
D'après les éléments du rapport initial, l'attaquant a d'abord constitué discrètement une minorité de blocage en achetant pour 4 millions de dollars de BONK, un volume suffisant pour orienter l'issue du scrutin. La perte intervient à un moment délicat pour l'écosystème : BONK reste l'un des plus grands memecoins de Solana par capitalisation, et la DAO pilote une trésorerie destinée à financer des subventions, des incitations de liquidité et des campagnes marketing. Voir 20 millions de dollars sortir via un seul vote fragilise l'idée selon laquelle les gros porteurs protègent mécaniquement les caisses communautaires.
Comment l'attaque s'est déroulée
Le piratage ne s'appuie pas sur une faille de smart contract. Le levier a été plus direct : acquérir assez de jetons de gouvernance pour dominer un vote. Après l'achat de 4 millions de dollars de BONK, l'entité a déposé une proposition de transfert de trésorerie à l'apparence standard. À la clôture du vote, près de 20 millions de dollars en BONK ont été envoyés vers des adresses contrôlées par l'attaquant.
BonkDAO indique avoir identifié des comptes sur des plateformes d'échange utilisés pour constituer ce bloc de vote. La DAO coordonne désormais ses actions avec des exchanges, des bridges et la Solana Foundation afin de geler ou de tracer les fonds. La rapidité de réaction est cruciale : les équipes conformité disposent souvent d'un délai réduit pour signaler des retraits suspects avant que les actifs ne soient dispersés via des mixers ou des itinéraires cross-chain.
Les limites de la gouvernance au vote pondéré
Les DAO fondées sur un modèle de vote purement proportionnel aux jetons sont critiquées de longue date. Le segment des memecoins a toutefois tardé à mettre en place des garde-fous comme des timelocks, des seuils de quorum liés à la participation active, ou des revues de propositions en plusieurs étapes. Beaucoup privilégient la vitesse et l'animation communautaire au détriment de la sécurité de la trésorerie.
L'incident illustre un scénario déjà documenté par des chercheurs en gouvernance : un acteur suffisamment capitalisé peut acheter assez de jetons pour faire passer presque n'importe quelle mesure sur des réseaux où le pouvoir de gouvernance est peu coûteux et faiblement concentré. Bien que la trésorerie de BonkDAO soit importante, la liquidité du jeton de gouvernance a permis de masquer relativement facilement l'achat de 4 millions de dollars jusqu'à la fin du scrutin.
Dans le même temps, l'activité DeFi et le dynamisme des développeurs sur Solana restent solides. Comme l'a relevé BlockchainReporter dans sa récente analyse des blockchains les plus actives côté développeurs, Solana continue d'attirer un fort intérêt des builders, une tendance qui évolue indépendamment des cycles spéculatifs propres aux trésoreries de memecoins.
Tentatives de récupération et prochaines étapes
La question immédiate est de savoir si une partie des BONK siphonnés pourra être récupérée. Des plateformes centralisées détenant des comptes liés à l'attaquant peuvent geler des soldes résiduels, mais si les jetons ont déjà été sortis des plateformes ou vendus, les chances diminuent nettement. L'implication de la Solana Foundation laisse espérer un gel d'actifs on-chain, même si un adversaire déterminé a généralement anticipé cette éventualité.
Reste aussi l'incertitude sur l'ajustement des paramètres de gouvernance. La communauté pourrait pousser à relever les seuils de dépôt et à instaurer des délais obligatoires, mais ces changements exigent un nouveau vote de gouvernance, précisément le mécanisme qui vient d'être exploité. À court terme, une solution évoquée consiste à recourir à une procédure de "multisig" entre un nombre limité de contributeurs de confiance : une centralisation temporaire qui permettrait de gagner du temps pendant la discussion de correctifs pérennes.
Pour l'ensemble du corridor memecoin sur Solana, l'attaque rappelle qu'une trésorerie à huit chiffres ne remplace pas une conception robuste de la sécurité. D'autres DAO détenant des réserves de jetons à plusieurs dizaines de millions vont désormais devoir justifier pourquoi leur gouvernance ne peut pas être manipulée avec une fraction de la valeur de leur trésorerie.