David Schwartz, ancien CTO de Ripple, a déclaré que le détournement de 20 millions de dollars de la trésorerie de BONK DAO pourrait être considéré comme une fraude d'entreprise, même si l'attaquant a utilisé le système de gouvernance onchain du projet pour approuver le transfert.
L'attaque était centrée sur une proposition de gouvernance malveillante qui a déplacé environ 4,42 billions de jetons BONK de la trésorerie de la DAO vers un portefeuille contrôlé par l'attaquant. Le transfert a suivi un vote avec une faible participation, où l'attaquant a utilisé une majorité de vote temporaire pour faire passer la proposition.

BONK, un memecoin basé sur Solana, a chuté d'environ 7 % après l'incident. BONK DAO a décrit l'événement comme une proposition de gouvernance malveillante et a indiqué qu'il collaborait avec les plateformes d'échange, les ponts et la Fondation Solana.
L'attaque a commencé lorsqu'un portefeuille anonyme a soumis la proposition BIP #76, qui incluait une instruction pour transférer les jetons BONK de la trésorerie vers le portefeuille de l'attaquant. La proposition nécessitait des votes favorables équivalant à 1 % de l'offre de BONK pour être adoptée.
Selon des analyses onchain citées dans les rapports, l'attaquant a dépensé environ 4,4 millions de dollars pour acheter des BONK via des plateformes d'échange telles que Binance et Bybit. Certains rapports indiquent également que l'attaquant a utilisé des plateformes de prêt DeFi pour augmenter son pouvoir de vote.
Seuls sept portefeuilles ont voté sur la proposition, tandis que plus de 18 000 membres n'ont pas participé. Le taux de participation était d'environ 2,9 %, permettant au portefeuille de l'attaquant de faire passer la proposition avec presque tous les votes favorables.
Le vote a atteint le quorum de justesse, avec 882,38 milliards de BONK en faveur contre un seuil de 879,95 milliards. Après l'adoption de la proposition, le transfert de trésorerie s'est exécuté automatiquement.
David Schwartz a déclaré que l'incident ne devrait pas être écarté comme une utilisation légale des règles onchain. Il a soutenu que les participants à la DAO peuvent toujours avoir des devoirs lors de la gestion d'actifs partagés.
Schwartz a qualifié le détournement de fraude d'entreprise car les participants à la DAO peuvent agir en tant que fiduciaires lorsqu'ils contrôlent les fonds communs de la trésorerie. Selon lui, une exécution valide du code n'élimine pas la responsabilité légale si les actifs partagés sont sciemment détournés.
Il a également déclaré que les tribunaux étatiques n'acceptent généralement pas la défense du « code fait loi » lorsque des actifs sont détournés. Cette position remet en question l'argument selon lequel l'attaquant s'est simplement contenté de suivre les règles du smart contract.
La question reste juridiquement complexe car chaque étape de la transaction s'est déroulée via le processus de gouvernance du projet. Cependant, BONK DAO et les entreprises d'analyse ont traité l'événement comme une attaque, et une implication des forces de l'ordre a été signalée.
Après l'adoption de la proposition, environ 20 millions de dollars en BONK ont été transférés de la trésorerie de la DAO vers le portefeuille contrôlé par l'attaquant. Les rapports indiquent qu'environ 188 000 dollars ont ensuite été envoyés vers une plateforme d'échange, probablement pour une activité de conversion en liquidités.
Le montant restant a été déplacé vers un portefeuille multisig, selon Chainalysis. Un portefeuille multisig nécessite plus d'une approbation avant que les fonds puissent être déplacés.
L'attaquant a également vendu les BONK utilisés pour obtenir le contrôle du vote. Les rapports indiquent qu'environ 5,3 millions de dollars de BONK achetés ont été vendus après le transfert de la trésorerie.
Cette séquence a laissé l'attaquant avec le contrôle des jetons de la trésorerie détournée tout en retirant une grande partie de la participation de vote utilisée pour faire passer la proposition. L'affaire a accru la surveillance des DAO qui s'appuient sur le vote par jetons sans mesures de sécurité plus robustes.
L'incident de BONK DAO a relancé le débat sur la gouvernance pondérée par les jetons. Une trésorerie peut devenir vulnérable lorsqu'un acheteur temporaire de jetons peut acquérir à bas prix suffisamment de pouvoir de vote pour faire passer une proposition dommageable.
L'attaque a également mis en évidence les risques liés à une faible participation. Un petit groupe de portefeuilles votants peut contrôler les décisions majeures si le quorum est faible et que les garanties sont insuffisantes.
Les protections courantes incluent les verrous temporels, des seuils de quorum plus élevés, des droits de veto d'urgence, des périodes d'examen des propositions et des limites sur les transferts de trésorerie. Le transfert de BONK DAO s'est exécuté sans délai suffisant pour empêcher le détournement.
L'article « L'ancien CTO de Ripple déclare que le détournement de la trésorerie de BONK DAO pourrait être une fraude d'entreprise » est paru en premier sur CoinCentral.


