La malédiction des DAO : Yam Finance échappe in extremis à une attaque de gouvernance à 3,1 millions
À deux doigts de la purée de patate douce – On s’en souvient, à la fin de l’année 2019, les cryptomonnaies ont rencontré une nouvelle révolution avec l’émergence de la finance décentralisée. Cette nouvelle soif de décentralisation a poussé bon nombre de protocoles à structurer leur gouvernance autour d’une DAO. Cependant, ces dernières peuvent présenter certaines limites. C’est ce que vient d’apprendre le protocole Yam, après avoir déjoué une attaque de gouvernance.
Yam Finance déjoue une attaque de gouvernance
Lancé en août 2020 sur Ethereum, Yam Finance fut l’un des protocoles DeFi à lancer la tendance des protocoles aux noms de légumes. Ces derniers ont ensuite été suivis par les protocoles aux noms de plats puis aux noms d’animaux. En pratique, Yam Finance permet aux utilisateurs de générer des rendements sur leurs cryptomonnaies.
Celui-ci a rencontré un engouement important à son lancement. Celui lui a permit de collecter plus de 6 millions de dollars à travers ses différentes pools. Depuis, la hype est redescendue et le protocole ne comptabilise plus que quelques centaines de milliers de dollars.
On en parlait hier, cela n’aura pas empêché un utilisateur mal intentionné de s’attaquer au protocole. Ainsi, le 9 juillet, les équipes de Yam ont annoncé à la communauté avoir déjoué une attaque de gouvernance.
Avec cette attaque, le hacker a tenté de s’octroyer le contrôle de la (relativement maigre) trésorerie du protocole au détriment du DAO.
Déroulement de l’attaque
En pratique, l’attaque a débutée le 7 juillet, bien qu’elle ne fût découverte que deux jours plus tard par les équipes de Yam.
Ainsi, l’attaquant a soumis une proposition de vote sur le module de gouvernance. Celle-ci a été soumise via des transactions internes, compliquant la détection de l’attaque.
Dans les faits, la proposition de gouvernance était conçue pour transférer le contrôle du fonds de trésorerie du protocole à une adresse contrôlée par l’attaquant. Au total, celui-ci aurait pu prendre le contrôle de 3,1 millions de dollars.
En plus d’inciter les autres utilisateurs à voter pour sa proposition par le biais de la description, celui-ci a participé au vote en déposant 224 739 YAM en faveur de la proposition.
Heureusement, les équipes du protocole sont parvenu à intervenir à temps en annulant la proposition pour stopper l’attaque. En pratique, elles ont utilisé le mécanisme de gardien du module de gouvernance qui leur permet d’annuler des propositions avant qu’elles ne soient exécutées.
Un sauvetage in extremis, car la proposition était initialement bien parti pour passer.
DAO : un nouveau vecteur d’attaque ?
Initialement mises en place pour décentraliser la gouvernance, les DAO sont de plus en plus souvent la cible des hackers.
Ainsi, ces derniers ont trouvé diverses méthodes pour exploiter les protocoles via leur DAO. En avril dernier, le protocole Beanstalk a été la cible d’une attaque de gouvernance qui a entrainé la perte de 182 millions de dollars.
En pratique, celui-ci a utilisé une fausse proposition pour prendre le contrôle de l’ensemble des fonds du protocole. L’attaquant a ensuite voté massivement pour sa proposition en empruntant des jetons de gouvernance par le biais de flash loans.
En plus d’être un important vecteur d’attaque, les DAO ne seraient finalement pas si décentralisées. Ainsi, une étude publiée par Chainalysis a montré que la plupart des DAO étaient centralisées autour d’une poignée d’acteurs détenant la majorité des jetons de gouvernance.
Pour vous, la technologie blockchain et les cryptomonnaies seront bientôt au cœur du quotidien de chacun d’entre nous. Vous pouvez vous exposer à Bitcoin, Ethereum et aux autres tokens sur l’exchange leader. Inscrivez-vous vite sur la plateforme Binance, et économisez 10 % sur vos frais de trading en suivant ce lien (lien commercial).