La malédiction des DAO : Yam Finance échappe in extremis à une attaque de gouvernance à 3,1 millions

À deux doigts de la purée de patate douce – On s’en souvient, à la fin de l’année 2019, les cryptomonnaies ont rencontré une nouvelle révolution avec l’émergence de la finance décentralisée. Cette nouvelle soif de décentralisation a poussé bon nombre de protocoles à structurer leur gouvernance autour d’une DAO. Cependant, ces dernières peuvent présenter certaines limites. C’est ce que vient d’apprendre le protocole Yam, après avoir déjoué une attaque de gouvernance. 

Yam Finance déjoue une attaque de gouvernance

Lancé en août 2020 sur Ethereum, Yam Finance fut l’un des protocoles DeFi à lancer la tendance des protocoles aux noms de légumes. Ces derniers ont ensuite été suivis par les protocoles aux noms de plats puis aux noms d’animaux. En pratique, Yam Finance permet aux utilisateurs de générer des rendements sur leurs cryptomonnaies. 

Celui-ci a rencontré un engouement important à son lancement. Celui lui a permit de collecter plus de 6 millions de dollars à travers ses différentes pools. Depuis, la hype est redescendue et le protocole ne comptabilise plus que quelques centaines de milliers de dollars. 

On en parlait hier, cela n’aura pas empêché un utilisateur mal intentionné de s’attaquer au protocole. Ainsi, le 9 juillet, les équipes de Yam ont annoncé à la communauté avoir déjoué une attaque de gouvernance

Annonce de l'attaque de gouvernance sur Yam Finance.
Annonce de l’attaque de gouvernance sur Yam Finance.

Avec cette attaque, le hacker a tenté de s’octroyer le contrôle de la (relativement maigre) trésorerie du protocole au détriment du DAO.

>> Achetez vos Bitcoins sur LiteBit en toute sécurité et recevez un bonus de 20€ (lien affilié) <<

Déroulement de l’attaque

En pratique, l’attaque a débutée le 7 juillet, bien qu’elle ne fût découverte que deux jours plus tard par les équipes de Yam.

Ainsi, l’attaquant a soumis une proposition de vote sur le module de gouvernance. Celle-ci a été soumise via des transactions internes, compliquant la détection de l’attaque. 

Dans les faits, la proposition de gouvernance était conçue pour transférer le contrôle du fonds de trésorerie du protocole à une adresse contrôlée par l’attaquant. Au total, celui-ci aurait pu prendre le contrôle de 3,1 millions de dollars

En plus d’inciter les autres utilisateurs à voter pour sa proposition par le biais de la description, celui-ci a participé au vote en déposant 224 739 YAM en faveur de la proposition.

Heureusement, les équipes du protocole sont parvenu à intervenir à temps en annulant la proposition pour stopper l’attaque. En pratique, elles ont utilisé le mécanisme de gardien du module de gouvernance qui leur permet d’annuler des propositions avant qu’elles ne soient exécutées. 

Un sauvetage in extremis, car la proposition était initialement bien parti pour passer. 

DAO : un nouveau vecteur d’attaque ? 

Initialement mises en place pour décentraliser la gouvernance, les DAO sont de plus en plus souvent la cible des hackers. 

Ainsi, ces derniers ont trouvé diverses méthodes pour exploiter les protocoles via leur DAO. En avril dernier, le protocole Beanstalk a été la cible d’une attaque de gouvernance qui a entrainé la perte de 182 millions de dollars.

En pratique, celui-ci a utilisé une fausse proposition pour prendre le contrôle de l’ensemble des fonds du protocole. L’attaquant a ensuite voté massivement pour sa proposition en empruntant des jetons de gouvernance par le biais de flash loans. 

En plus d’être un important vecteur d’attaque, les DAO ne seraient finalement pas si décentralisées. Ainsi, une étude publiée par Chainalysis a montré que la plupart des DAO étaient centralisées autour d’une poignée d’acteurs détenant la majorité des jetons de gouvernance. 

Fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. Inscrivez-vous dès maintenant sur la plateforme LiteBit, vous recevrez 20 € en cadeau de bienvenue (lien affilié).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour