Une attaque de gouvernance coûte 1,58 million de dollars au projet crypto Token of Power

Le projet cryptographique Token of Power (TOP) a été victime d’une attaque à grande échelle sur sa gouvernance, au cours de laquelle un pirate a réussi à dérober environ 1,58 million de dollars en Ethereum. En prenant le contrôle du système de vote du protocole, l’attaquant a pu créer des milliards de nouveaux tokens TOP et les échanger immédiatement contre de l’Ethereum.

La société de sécurité blockchain Blockaid a découvert l’attaque et a signalé qu’environ 944 Wrapped Ethereum (WETH) avaient été retirés d’un pool de liquidité, soit une valeur marchande actuelle d’environ 1,58 million de dollars.

Le pirate obtient la majorité des droits de vote

L’attaque a été rendue possible par un système de gouvernance mal conçu. La gouvernance détermine comment les décisions sont prises au sein d’un projet cryptographique. Les détenteurs de tokens peuvent voter sur des propositions qui affectent le protocole.

Selon Blockaid, TOP ne comptait que 16 384 tokens en circulation. L’attaquant en a rassemblé 8 192, obtenant ainsi plus de 50 % des droits de vote et prenant effectivement le contrôle de la gouvernance du protocole.

En règle générale, ces systèmes comportent des couches de sécurité supplémentaires qui empêchent l’exécution immédiate des propositions. Chez Token of Power, ces mesures faisaient défaut. Cela a permis à l’attaquant de soumettre, approuver et exécuter une proposition en une seule transaction.

Création de milliards de nouveaux tokens

Après avoir pris le contrôle, le pirate a activé une fonction permettant de créer de nouveaux tokens TOP. Au total, 10 milliards de tokens TOP ont été générés et envoyés vers le portefeuille de l’attaquant.

Ces nouveaux tokens ont ensuite été vendus via le pool de liquidité TOP/WETH sur Balancer, vidant ainsi pratiquement tout l’Ethereum disponible dans le pool.

Balancer lui-même n’était pas la cible de l’attaque. Selon les chercheurs, aucune vulnérabilité n’a été trouvée dans le protocole de trading. La cause résidait entièrement dans la structure de gouvernance de Token of Power.

Le gain réel inférieur au montant volé

Le sécuritaire blockchain BlockSec rapporte que l’attaquant a dû investir au préalable environ 662 WETH pour réunir suffisamment de tokens TOP et obtenir la majorité des droits de vote. Bien qu’environ 944 WETH aient été extraits du pool de liquidité, le bénéfice net estimé est donc d’environ 282 WETH.

Le chercheur on-chain 0xsadikbaba indique que plusieurs grandes transactions ont été effectuées via Balancer pendant l’attaque, ce qui a entraîné la disparition d’environ 945 ETH du pool de liquidité.

L’Ethereum volé transféré via Tornado Cash

Après l’attaque, les fonds volés ont été rapidement déplacés via Tornado Cash, un service de confidentialité qui complique le suivi des transactions cryptographiques. Selon les chercheurs, plusieurs dépôts ont été effectués en environ une heure, comprenant des transactions de 100 et 10 ETH. À la fin de cette série, le portefeuille de l’attaquant ne contenait pratiquement plus d’Ethereum.

Nouvelles inquiétudes sur la sécurité de la gouvernance DeFi

L’attaque contre Token of Power accroît les inquiétudes concernant la sécurité des systèmes de gouvernance dans le secteur DeFi. Les projets plus petits sont particulièrement à risque lorsque qu’un nombre limité de tokens suffit pour prendre le contrôle d’un protocole.

BlockSec appelle les projets utilisant des frameworks de gouvernance tels qu’Aragon à réévaluer leur sécurité. Les droits de vote, les exigences de quorum, les pouvoirs pour créer de nouveaux tokens et d’autres mécanismes de protection doivent être examinés.

Les experts en sécurité soulignent également l’importance des « timelocks », un délai intégré qui empêche l’exécution immédiate des propositions et donne aux utilisateurs la possibilité de signaler à temps des modifications suspectes.

L’incident montre que des erreurs dans la gouvernance d’un projet cryptographique, même sans vulnérabilité technique dans des protocoles sous-jacents comme Balancer, peuvent entraîner des pertes de millions pour les investisseurs et les fournisseurs de liquidité.