logo
$7M Ultimate Champion
Inscrivez-vous et obtenez 15 000 USDT en récompenses
Une offre limitée vous attend !

BonkDAO : 20 millions de dollars détournés via une simple proposition de gouvernance

Points clés

Un acteur a acquis 1 % des BONK pour 4,4 M$, a atteint le quorum lors d’un vote peu suivi, et a retiré 20 M$ de BonkDAO. Voici comment l’attaque a fonctionné.

Le 7 juillet 2026, un acteur malveillant a réussi à retirer environ 20 millions de dollars en BONK de la trésorerie de BonkDAO, sans exploiter la moindre faille technique. Aucun bug de smart contract, aucun vol de clé privée, aucune tentative de phishing : l’attaquant a simplement acheté suffisamment de jetons pour obtenir le pouvoir de vote nécessaire et a fait passer une proposition qui lui a permis de transférer la trésorerie. Le cours du BONK a reculé d’environ 9 % après la diffusion de l’information sur Solana.

Ce genre d’incident préoccupe fortement les constructeurs de DAO, car ici, le code a fonctionné comme prévu. La gouvernance a exécuté son rôle. Voici comment le vote a été capturé, pourquoi les chiffres ont permis l’attaque, et ce que la gouvernance pondérée par les jetons implique encore comme risques.

Comment la trésorerie BonkDAO a été vidée en un seul vote

BONK est un memecoin considéré comme la mascotte de Solana, et BonkDAO est l’organe communautaire qui gère sa trésorerie via des propositions on-chain. Les membres détiennent des jetons BONK, les propositions sont publiées, et les détenteurs votent pour ou contre. Plus vous détenez de jetons, plus votre vote a de poids. Ce point est central dans cette affaire.

Avant le vote, l’attaquant a acquis, via plusieurs plateformes centralisées, un peu plus de 1 % de l’offre en circulation de BONK pour un montant d’environ 4,4 millions de dollars. Sur le papier, 1 % d’un memecoin semble négligeable. Mais dans une DAO à faible participation, cela suffisait à devenir l’acteur dominant.

La proposition, intitulée « BIP #76 - Sowellian BonkDAO », semblait anodine à première vue. Mais dans les détails, elle ordonnait le transfert de 4,43 trillions de BONK vers un portefeuille contrôlé par l’attaquant. La plupart des membres n’ont pas lu jusqu’au bout, et la majorité n’a pas voté.

À la clôture, la proposition BIP #76 a été adoptée avec 99,9 % d’approbation, mais seulement 7 portefeuilles s’étaient prononcés. Plus de 18 000 membres de BonkDAO n’ont pas voté, soit un taux de participation de seulement 2,9 %. L’attaquant n’a pas convaincu la communauté : il a simplement profité de l’absence de mobilisation.

Les chiffres derrière l’achat d’une majorité de gouvernance

La gouvernance pondérée par les jetons s’appuie sur deux chiffres : le quorum (puissance minimale de vote requise pour valider une décision) et la pondération des votes. Celui qui contrôle les deux contrôle le résultat. Dans le cas de BIP #76, le quorum a été atteint de justesse, un des plus faibles seuils observés lors d’une attaque de trésorerie.

La proposition a passé le seuil de peu : le camp du « oui » a cumulé 882,38 milliards de BONK pour un quorum fixé à 879,95 milliards de BONK – à peine un demi pourcent d’écart. L’attaquant n’avait pas besoin d’une force écrasante, juste du poids suffisant pour franchir la barre en quasi-solitude.

Indicateur de vote Valeur Ce que cela montre
Coût pour acheter 1 % ~4,4 millions $ Prix d’une majorité temporaire
Nombre de portefeuilles oui 7 Très peu d’acteurs ont décidé du résultat
Taux d’approbation 99,9 % Aucun groupe organisé d’opposition
Participation 2,9 % Plus de 18 000 membres n’ont pas voté
Oui vs quorum 882,38 Md vs 879,95 Md BONK Quorum franchi de justesse
Montant drainé 4,43 trillions BONK (~20 M$) Paiement dissimulé dans les détails

L’aspect économique rend cela risqué : l’attaquant a investi 4,4 millions de dollars pour retirer près de 20 millions, soit un ratio de plus de 4 pour 1 (hors impact de la revente sur le marché). Si le coût d’achat d’une majorité est bien inférieur au montant contrôlé, l’attaque s’auto-finance.

Qu’est-ce qu’une attaque de gouvernance ?

Une attaque de gouvernance n’est pas un hack au sens classique : il n’y a pas de faille exploitée, mais une prise de contrôle légitime du vote qui permet d’adopter des décisions favorisant l’attaquant, dans le strict respect du protocole. Dans l’écosystème DeFi, c’est l’une des menaces les plus difficiles à contrer, car le comportement malveillant et le fonctionnement normal sont indiscernables pour le code.

Ce schéma existe depuis les débuts des DAO. En 2016, la première DAO sur Ethereum avait été victime d’un bug de réentrance, entraînant la perte du tiers de ses fonds et un hard fork. L’attaque BIP #76 est différente : ici, aucun bug n’a été utilisé.

Trois facteurs ont rendu BonkDAO vulnérable — et s’appliquent à de nombreux protocoles :

Faible participation = porte ouverte. Quand seuls 2,9 % des membres votent, il suffit d’un acheteur motivé pour faire pencher la balance. L’apathie, et non le smart contract, devient la faille.

Le pouvoir de vote est accessible sur le marché. Puisque le poids de gouvernance équivaut à la détention de jetons, toute personne disposant de fonds peut acheter une majorité. L’attaquant a acquis 1 % de l’offre sur des plateformes classiques, sans accès privilégié.

Les quorums sont manipulables. Un quorum fixe, pertinent en période calme, devient facile à atteindre si la participation s’effondre. BIP #76 a franchi le seuil de 879,95 milliards de BONK avec moins de 0,5 % de marge.

D’où la récurrence de ce type d’incident en DeFi. En 2026, les attaques ciblent de plus en plus la gouvernance et les mécanismes économiques plutôt que le code, car la dimension humaine reste le maillon faible. Les racines memecoin de BONK, issues d’une culture du launchpad générant des tokens en masse, impliquent une base d’investisseurs large… mais souvent passive : le terrain idéal pour ce type d’attaque.

Réactions de BonkDAO et de Solana

BonkDAO a confirmé l’incident publiquement dans les heures suivantes et s’est lancée dans la gestion de crise. Sur le compte X officiel du projet, l’équipe indique avoir identifié les portefeuilles utilisés pour acquérir les jetons, collaborant avec les plateformes d’échange, les opérateurs de bridge et la Fondation Solana pour tracer les fonds et bloquer des mouvements si possible.

Cette réponse est cruciale, car le problème principal de l’attaquant reste la liquidité. Les jetons drainés ne valent 20 millions de dollars que sur le papier. Pour transformer 4,43 trillions de BONK en liquidités utilisables, l’attaquant doit passer par des plateformes centralisées ou des bridges inter-chaînes, qui sont justement surveillés par BonkDAO. Si les adresses identifiées sont bloquées, une partie importante des fonds pourrait être gelée.

La réaction du marché a été rapide mais limitée : la baisse d’environ 9 % du BONK reflète le choc et la crainte d’une revente massive, mais la correction est restée circonscrite au token. Vous pouvez suivre l’évolution du prix via les données en temps réel de BONK, ainsi que la santé de l’écosystème via les statistiques DeFi de Solana sur DefiLlama.

La question la plus complexe relève de la philosophie, et la communauté crypto est divisée. Certains considèrent BIP #76 comme un simple vol. D’autres estiment que l’attaquant n’a rien fait d’interdit : achat de jetons, vote, adoption de la proposition — tout s’est déroulé dans les règles. Selon cette lecture, il ne s’agit pas d’un crime mais d’un stress test du principe « le code fait loi », et la faille, c’est la gouvernance ayant permis l’achat d’une majorité temporaire à bas coût.

Foire aux questions

Qu’est-ce qu’une attaque de gouvernance ?

C’est lorsqu’un acteur acquiert suffisamment de pouvoir de vote dans une DAO pour faire passer une proposition à son avantage, en utilisant les règles du protocole. Dans le cas de BonkDAO, l’attaquant a acheté des BONK, atteint le quorum grâce à une faible participation et fait adopter la proposition transférant les fonds vers son propre portefeuille.

Pourquoi l’attaquant n’avait-il besoin que de 1 % des BONK ?

La participation n’était que de 2,9 %, l’attaquant n’avait qu’à dépasser ce faible seuil. Avec un peu plus de 1 % de l’offre (environ 4,4 millions de dollars), il a contrôlé 99,9 % des votes exprimés et franchi de justesse le seuil de 879,95 milliards de BONK.

L’incident BonkDAO est-il un hack ?

Non, il ne s’agit pas d’une faille technique : aucun bug, aucune clé volée, aucun serveur piraté. Les smart contracts ont fonctionné comme écrit, ce qui rend ce type d’attaque difficile à prévenir et explique pourquoi certains y voient une exploitation du règlement plus qu’un vol.

D’autres DAO peuvent-elles subir la même attaque ?

Oui, c’est précisément ce qui rend cet incident préoccupant. Toute DAO fonctionnant avec votes pondérés par les jetons, faible participation et quorum atteignable à moindre coût est vulnérable. Des mesures comme le time-lock, la délégation de vote, un quorum proportionnel à l’offre active, ou la revue manuelle des transferts peuvent renforcer la sécurité.

En résumé

L’affaire BonkDAO est un avertissement sur la conception économique, non sur la qualité du code. Un acteur a transformé 4,4 millions de dollars en 20 millions en profitant d’un quorum fixe et d’une participation de 2,9 %, rendant l’achat d’une majorité moins coûteux que la trésorerie contrôlée. Trois questions se posent : BonkDAO et ses partenaires pourront-ils geler les portefeuilles identifiés avant liquidation ? Les autres trésoreries Solana renforceront-elles leurs règles pour éviter ce scénario ? Le BONK va-t-il se maintenir après l’incident ? Pour toute DAO, la leçon est claire : si la communauté ne vote plus, d’autres le feront à sa place.

Cet article est fourni à titre informatif uniquement et ne constitue en aucun cas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques significatifs. Faites toujours vos propres recherches avant toute décision.

Inscrivez-vous et réclamez 15000 USDT
Avertissement
This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our Conditions d'utilisation and Divulgation des risques

Articles connexes

Meta lance Muse Image : implications pour l'action META en 2026

Meta lance Muse Image : implications pour l'action META en 2026

Perspectives du Marché
2026-07-08
Pourquoi l'action Intel chute : retard du 18A et progression d'AMD dans les data centers

Pourquoi l'action Intel chute : retard du 18A et progression d'AMD dans les data centers

Perspectives du Marché
2026-07-08
Cours actuel du XRP et portée de la licence MiCA complète de Ripple en Europe

Cours actuel du XRP et portée de la licence MiCA complète de Ripple en Europe

Perspectives du Marché
2026-07-07
Strategy vend sa plus grande part de Bitcoin pour financer ses dividendes préférentiels

Strategy vend sa plus grande part de Bitcoin pour financer ses dividendes préférentiels

Perspectives du Marché
2026-07-07
L'action AMD grimpe après que Goldman Sachs relève son objectif de cours à 640 $

L'action AMD grimpe après que Goldman Sachs relève son objectif de cours à 640 $

Perspectives du Marché
2026-07-07
Pourquoi l'action Tesla progresse après un deuxième trimestre record et le lancement de robotaxis à Miami

Pourquoi l'action Tesla progresse après un deuxième trimestre record et le lancement de robotaxis à Miami

Perspectives du Marché
2026-07-07