Le monde de la finance décentralisée (DeFi) n’est pas à l’abri des mauvaises surprises. Compound, l’un des pionniers de la gouvernance décentralisée, vient d’en faire l’amère expérience. Le protocole a été la cible d’une manœuvre pouvant s’apparenter à une attaque de gouvernance, entraînant le détournement de près de 24 millions de dollars. Cette affaire soulève de nombreuses questions quant à la sécurité et la résilience des systèmes de gouvernance décentralisés.
Quand la gouvernance décentralisée se retourne contre Compound
Depuis le lancement de son jeton de gouvernance COMP en avril 2020, Compound a fait figure de précurseur en matière de décentralisation de la gouvernance. Un système permettant aux détenteurs du jeton de participer activement aux décisions relatives au protocole. Malheureusement, cette gouvernance peut aussi être exploitée à des fins malveillantes, comme en témoigne la récente attaque subie par Compound.
Les Golden Boys à l’assaut du trésor de Compound
Tout a commencé en mai dernier lorsqu’un groupe connu sous le nom des Golden Boys a soumis la proposition 247 visant à allouer 92 000 COMP, soit l’équivalent de 4,4 millions de dollars, à leur propre protocole goldCOMP. L’idée étant de réutiliser ces fonds pour générer un rendement de 5% via le vault de goldCOMP. Une proposition refusée à l’unanimité par la communauté Compound, flairant le coup fourré.
Loin de se décourager, les Golden Boys reviennent à la charge quelques semaines plus tard avec une nouvelle proposition, la 279, reprenant les mêmes termes. Une fois encore, la communauté fait front et rejette massivement cette tentative.
La troisième tentative sera la bonne
C’est finalement fin juillet, avec la proposition 289, que les Golden Boys parviennent à leurs fins. Le montant demandé cette fois-ci est colossal : près de 500 000 COMP, soit environ 24 millions de dollars. Une somme faramineuse qui ne semble pas inquiéter la whale Humpy, qui apporte son soutien à la proposition. Pris de court, la communauté n’a pas le temps de s’organiser pour contrer le vote. La proposition est donc acceptée le 28 juillet.
La communauté divisée sur la légitimité de l’opération
Si certains crient à l’attaque de gouvernance orchestrée par les Golden Boys avec la complicité de Humpy, d’autres estiment que la proposition a été validée dans les règles et que les fonds ne risquent pas d’être dérobés. Un débat houleux qui met en lumière les failles potentielles des systèmes de gouvernance décentralisés.
Les leçons à tirer de l’attaque de Compound :
- La gouvernance décentralisée n’est pas infaillible et peut être manipulée
- L’importance du délai de réflexion avant l’exécution d’une proposition
- La nécessité pour la communauté de rester vigilante et réactive
- Les risques liés à la concentration du pouvoir de vote (whales)
Un délai de contestation désormais instauré
Suite à cette mésaventure, Compound a décidé de mettre en place un délai de 2 jours entre l’acceptation d’une proposition et son exécution. Un laps de temps précieux permettant à la communauté de débattre du bien-fondé de la décision et éventuellement de prendre des mesures pour la contrer. Une sécurité supplémentaire indispensable pour éviter de futurs détournements de fonds.
L’attaque subie par Compound est un rappel brutal que même les systèmes les plus innovants comportent des failles exploitables par des acteurs malintentionnés. Un constat qui pousse l’ensemble de l’écosystème DeFi à redoubler de vigilance et à renforcer ses mécanismes de gouvernance et de sécurité. Car derrière les promesses d’autonomie et de transparence portées par ces protocoles, se cache aussi le spectre d’une centralisation du pouvoir aux mains de quelques gros joueurs peu scrupuleux. Un écueil que la communauté se doit d’écarter pour préserver la nature profondément démocratique et égalitaire de la finance décentralisée.