Une attaque de gouvernance permet la création de 10 milliards de tokens TOP et le vol de 1,58 M$
Dans le monde dynamique des cryptomonnaies, la sécurité des systèmes de gouvernance est cruciale. Récemment, un exploit majeur a été signalé concernant le Token of Power, qui a subi une attaque de gouvernance permettant à un individu malveillant de créer 10 milliards de tokens TOP et de drainer 944,2 WETH (d'une valeur d'environ 1,58 million de dollars) du pool Balancer.
Comprendre l'attaque de gouvernance
Selon la société de sécurité Blockaid, l'attaque s'est déroulée le mardi dernier. Elle a permis à un attaquant de tirer profit d'une mauvaise configuration de la gouvernance au sein de l'Aragon DAO du Token of Power. Ce type d’attaque, bien que moins fréquent que les failles de code des contrats intelligents, peut avoir des conséquences tout aussi dévastatrices.
L'attaquant a initialement investi 662 ETH, provenant du service Tornado Cash, pour acquérir environ 8 192 tokens TOP - soit plus de la moitié de l'offre totale de 16 384 tokens du protocole. Avec cette majorité, il a pu soumettre une proposition de gouvernance pour frapper 10 milliards de nouveaux tokens, directement envoyés vers un contrat sous son contrôle.
L'absence de verrou de temps : une faille majeure
Un des problèmes critiques de ce système était l'absence de verrou de temps au sein de l'application de vote Aragon. Cela a permis à l'attaquant d'accomplir toutes les étapes - création de la proposition, vote et exécution - en un seul et même transaction. Une telle lacune dans la conception des protocoles de gouvernance a éliminé la fenêtre d'opportunité dont la communauté aurait normalement besoin pour détecter et annuler toute proposition malveillante.
PeckShield, une autre société de sécurité, a confirmé que l'attaquant a réussi à retirer 945,1 ETH après avoir orchestré le drainage. Une fois que le contrôle majoritaire avait été établi par l'achat initial, la proposition a été automatiquement acceptée dès sa soumission.
Le mécanisme d'exploitation : Balancer en tant que sortie
La stratégie de l'attaquant consistait à échanger les 10 milliards de nouveaux tokens TOP, nouvellement frappés, contre des WETH dans le pool Balancer V1, qui fonctionnait sur un modèle de pondération 50/50 entre les deux actifs. Ce mécanisme a permis à l'attaquant d'inonder le pool avec des tokens TOP fraîchement créés contre un nombre fixe de WETH, ce qui a conduit à l'extraction de 944,2 WETH.
Cela a été possible parce que le pool de Balancer ne disposait pas de mécanismes permettant de contrer une telle manipulation. Ainsi, la transaction a été exécutée sans résistance, démontrant une fois de plus les dangers des attaques de gouvernance et des manques de protections au niveau des échanges décentralisés.
Les implications de cette attaque dans l'écosystème crypto
Cette attaque sur Token of Power met en lumière la fragilité des systèmes de gouvernance au sein de la finance décentralisée (DeFi). Alors que des protocoles comme Aragon offrent des outils puissants pour la gouvernance décentralisée, l'intégration de vulnérabilités structurelles peut compromettre l'intégrité de l'ensemble du système. Les leçons à tirer de cet incident soulignent l'importance d'une architecture sécurisée et de mécanismes de protection renforcés.
Actuellement, la communauté crypto se penche sur l'importance d'implémenter des délais d'attente pour les propositions de gouvernance, afin de garantir qu'aucune décision ne soit précipitée sans un examen minutieux par les membres de la communauté.
Une vigilance accrue nécessaire
Les investisseurs et les utilisateurs des plateformes DeFi doivent rester vigilants face aux risques associés aux attaques de gouvernance. Des plateformes comme Token of Power doivent renforcer leurs protocoles afin de protéger les utilisateurs contre d'éventuels abus liés à des configurations spécifiques de gouvernance. Les leçons de cette attaque peuvent bénéficier à l'ensemble de l'écosystème et devraient inciter à une réflexion sur la sécurité des DAO.
Pour des analyses plus approfondies, vous pouvez consulter les rapports de Blockaid et PeckShield qui détaillent les différentes facettes de cette attaque.
FAQ
Qu'est-ce que l'attaque de gouvernance sur Token of Power ?
C'est une exploitation d'une mauvaise configuration dans le système de gouvernance qui a permis de créer 10 milliards de tokens TOP.
Comment l'attaquant a-t-il réussi à frapper tant de tokens ?
L'attaquant a acquis plus de 50% de l'offre totale de tokens TOP, ce qui lui a donné le contrôle pour soumettre une proposition malveillante.
Quels sont les risques liés aux systèmes de gouvernance décentralisée ?
Les systèmes de gouvernance peuvent être vulnérables aux attaques si des protections, comme des verroux de temps, ne sont pas en place. Cela peut entraîner des pertes majeures pour les investisseurs.
