Compound ciblé par une attaque de gouvernance : 24 millions de $ détournés !
Compound a été l’un des pionniers de la gouvernance décentralisée en lançant le COMP son jeton de gouvernance en avril 2020. Toutefois, le protocole fait désormais face à une manœuvre qui pourrait s’apparenter à une attaque de gouvernance. Après plusieurs tentatives, les attaquants ont finalement réussi leur coup. Revenons sur cette affaire.
Attaque de gouvernance : qu’est-ce que c’est ?
Depuis 2020, de nombreux protocoles optent pour une décentralisation de la gouvernance via un jeton. Ainsi, les détenteurs de ce jeton sont en mesure de participer aux décisions du protocole. Un jeton représente dans ce cas une voix et les utilisateurs peuvent utiliser leur jeton pour voter les décisions relatives au protocole.
Cependant, ce système n’est pas infaillible. Ainsi, certains utilisateurs malveillants peuvent utiliser cela à leur avantage. Pour ce faire, ils vont effectuer une proposition via la gouvernance décentralisée du protocole. En parallèle, ils vont acquérir une puissance de vote significative pour s’assurer de la victoire de la proposition.
Compound au cœur d’une attaque de gouvernance ?
Depuis plusieurs mois, le protocole Compound fait face à une tentative qui pourrait s’apparenter à une attaque de gouvernance.
Première tentative des Golden Boys
Tout à commencer au début du mois de mai via la proposition 247. Cette proposition vise à allouer 92 000 COMP, soit l’équivalent de 4,4 millions de dollars au cours actuel, à un wallet multi-signature détenu par le protocole goldCOMP. En pratique, goldCOMP est un protocole fondé par les Golden Boys, qui propose une stratégie conçue pour offrir aux détenteurs de COMP des rendements sur leurs tokens COMP.
L’objectif étant de réutiliser les fonds pour générer 5% de rendement via le coffre-fort (vault) de goldCOMP.
Cette première tentative fut un échec. En effet, la communauté s’est mobilisée pour faire front à cette proposition, qui a finalement été refusée avec une majorité écrasante.
Deuxième tentative : deuxième échec
Les Golden Boys ne semblent pas en avoir fini avec cette idée. Ainsi, à la mi-juillet, ils sont revenus à l’attaque avec la proposition 279.
Une fois de plus, les Golden Boys espèrent obtenir une allocation de 92 000 COMP pour l’allouer à la stratégie de leur vault goldCOMP.
« La proposition vise à investir pendant un an 92 000 COMP de fonds du Trésor dans le coffre-fort, afin de générer des intérêts de 5% sur les COMP non utilisés de la trésorerie. »
Une nouvelle fois, la communauté fait front et la proposition est refusée à l’unanimité.
Jamais deux sans trois
Ces deux échecs n’auront pas érodé la motivation des Golden Boys. Ces derniers sont revenus quelques jours plus tard avec la proposition 289.
Toutefois, cette nouvelle proposition diffère des précédentes dans les montants demandés. Les Golden Boys cherchent cette fois un investissement de près de 500 000 COMP, soit l’équivalent de 24 millions de dollars au cours actuel.
Cependant, cette fois sera différente. D’une part, les Golden Boys semblent avoir reçu l’appui de Humpy, une whale sur le jeton COMP.
D’autre part, il semblerait que la communauté n’ait pas eu le temps de s’organiser pour contrer la proposition.
Par conséquent, la proposition a été acceptée le 28 juillet et devrait être exécutée dans les jours à venir.
Attaque de gouvernance ou action légitime ?
Désormais, la communauté se divise quant à la légitimité de la proposition. Les tentatives répétées et l’aide apportée par la whale Humpy laissent de nombreux membres de la communauté sceptiques. Ces derniers voient la manœuvre comme une attaque de gouvernance.
« Trois tentatives sans communication accrue et en s’éloignant du consensus des électeurs sont très préoccupantes et devraient être abordées directement et largement. Étant donné que les reprises liées au quorum sont préoccupantes, mais actuellement courantes pour assurer la continuité opérationnelle, devrions-nous limiter au-delà de la première reprise (deuxième tentative), ou peut-être interdire catégoriquement les reprises de propositions rejetées, par opposition à un simple défaut de quorum ? »
De son côté, Humpy défend le projet en déclarant que les fonds ne seront jamais à risque d’être dérobés.
« “Voler des fonds” est une expression erronée et trompeuse, en particulier de la part d’un spécialiste des risques. L’investissement demandé passe par une structure fiduciaire avec un ensemble d’actions contraignantes qui ne permet pas le vol/la division des fonds. »
Afin qu’un tel événement ne se reproduise pas à l’avenir, la gouvernance a voté l’ajout d’un délai de 2 jours avant l’exécution d’une proposition acceptée par la gouvernance. Cela laisse le temps à la communauté de débattre de cette proposition et de prendre les mesures nécessaires.
En mai 2023, le protocole Tornado Cash avait été la cible d’une attaque de gouvernance. Celle-ci avait permis à l’attaquant d’obtenir un contrôle total sur la gouvernance décentralisée. Probablement pris de remords, il avait fait marche arrière.