Imaginez qu'une personne puisse détourner le coffre-fort de votre immeuble en achetant trois appartements dans la résidence. C'est exactement ce qui a failli se produire sur Moonwell, un protocole DeFi sur Base, en janvier 2024.
Un attaquant a réussi à prendre le contrôle temporaire de la gouvernance du protocole avec un investissement de seulement 1 800 dollars. Son objectif : vider plus d'un million de dollars. L'attaque gouvernance DeFi a échoué, mais elle révèle une vulnérabilité fondamentale de nombreux protocoles décentralisés : le système de vote censé les protéger peut devenir leur plus grande faiblesse.
Voici ce qui s'est réellement passé, et ce que cela nous apprend sur la sécurité en DeFi.
L'anatomie d'une attaque de gouvernance DeFi à 1 800 dollars
Le 15 janvier 2024, un utilisateur malveillant repère une opportunité sur Moonwell. Le protocole fonctionne selon un principe simple : plus vous détenez de tokens de gouvernance (WELL), plus votre voix compte dans les décisions collectives. C'est comme une assemblée générale de copropriété : chaque part donne un droit de vote.
L'attaquant constate que très peu d'utilisateurs participent réellement aux votes. La participation est si faible qu'il suffirait d'une poignée de tokens pour faire passer n'importe quelle proposition. Il achète donc pour 1 800 dollars de tokens WELL sur le marché.
Avec ces tokens en poche, il soumet une proposition apparemment technique : modifier les paramètres d'un «price oracle» (l'outil qui indique au protocole le prix des actifs). En réalité, cette modification permettrait de manipuler les prix et de vider les coffres du protocole.
La proposition est soumise. Le vote commence. Et pendant quelques heures, elle est en passe d'être acceptée.
Le problème de la participation endormie dans les protocoles DeFi
La gouvernance décentralisée repose sur une idée séduisante : les décisions importantes sont prises collectivement par ceux qui ont un intérêt dans le protocole. Plus de patron, plus de conseil d'administration opaque. Juste la communauté.
Mais voici le paradoxe : dans la pratique, très peu de détenteurs de tokens participent réellement aux votes. Sur Moonwell, comme sur beaucoup d'autres protocoles, le taux de participation oscille souvent entre 1 % et 5 % des tokens en circulation.
C'est comme si, lors des élections de votre copropriété, seuls trois propriétaires sur cent se déplaçaient. N'importe qui pourrait alors acheter quatre appartements et contrôler toutes les décisions : vendre les parties communes, vider le budget de rénovation, modifier le règlement intérieur.
Cette apathie crée une fenêtre d'opportunité pour les attaquants. Ils n'ont pas besoin de détenir la majorité des tokens, juste assez pour dépasser le petit nombre de votants actifs. Cette réalité expose un risque protocole DeFi majeur : la concentration du pouvoir par défaut de participation.
Dans le cas de Moonwell, l'attaquant avait parfaitement compris ce mécanisme. Avec ses 1 800 dollars de tokens, il disposait temporairement d'une influence démesurée.
Comment l'attaque a été déjouée
Heureusement, quelqu'un a remarqué la proposition suspecte. Un membre vigilant de la communauté a analysé le code proposé et sonné l'alarme sur les forums et réseaux sociaux du protocole.
En quelques heures, les «baleines» (les gros détenteurs de tokens) se sont mobilisées. Ils ont voté massivement contre la proposition malveillante, qui a finalement été rejetée avec une large majorité. L'attaquant a perdu son investissement de 1 800 dollars sans rien gagner en retour.
Mais cette victoire cache une fragilité structurelle. Le protocole a été sauvé par la vigilance humaine et la réactivité de quelques gros détenteurs, pas par ses mécanismes de sécurité automatiques.
C'est précisément le problème : la sécurité du protocole dépendait du fait que quelqu'un, quelque part, regarderait au bon moment, comprendrait l'enjeu et mobiliserait suffisamment de votes. Ce n'est pas un système robuste, c'est de la chance. Pour comprendre comment d'autres protocoles gèrent ces risques, consultez notre analyse sur les circuit breakers DeFi et leurs mécanismes de protection.
Les leçons pour les protocoles DeFi
L'incident Moonwell met en lumière plusieurs vulnérabilités communes à de nombreux protocoles décentralisés.
Le quorum, ce seuil critique. Beaucoup de protocoles exigent qu'un certain nombre minimum de tokens participent au vote pour qu'une proposition soit valide (le quorum). Moonwell avait un quorum, mais il était trop bas par rapport à la participation réelle. Depuis l'attaque, le protocole a augmenté ce seuil de manière significative.
Le délai de vote, une épée à double tranchant. Les propositions restent ouvertes au vote pendant une période définie (généralement entre 3 et 7 jours). C'est pensé pour laisser le temps à la communauté de réagir. Mais si personne ne surveille activement, ce délai devient un compte à rebours vers le danger. Certains protocoles ont introduit des périodes de «timelock» supplémentaires : même après validation, une proposition met plusieurs jours à s'exécuter, laissant une dernière chance de la bloquer.
La délégation, solution sous-utilisée. La plupart des protocoles permettent aux détenteurs de tokens de «déléguer» leur pouvoir de vote à des personnes de confiance, souvent des experts ou des membres actifs de la communauté. C'est comme donner procuration lors d'une assemblée générale. Cette pratique reste marginale, alors qu'elle permettrait d'augmenter la participation effective sans demander à chacun d'analyser chaque proposition technique.
Les systèmes d'alerte, encore trop manuels. Moonwell a été sauvé parce qu'un humain vigilant a repéré l'anomalie. Mais que se passe-t-il si personne ne regarde ? Certains protocoles développent désormais des bots qui analysent automatiquement les propositions et alertent la communauté en cas de paramètres suspects. C'est un début, mais ces outils restent imparfaits.
Ce que cela change pour vous
Si vous utilisez des protocoles DeFi ou détenez des tokens de gouvernance, cette histoire comporte plusieurs enseignements pratiques.
D'abord, vérifiez la santé de la gouvernance des protocoles que vous utilisez. Un protocole avec un taux de participation aux votes inférieur à 5 % est potentiellement vulnérable. Regardez l'historique des propositions : y a-t-il des votes réguliers ? Les quorums sont-ils atteints facilement ou à la limite ?
Ensuite, si vous détenez des tokens de gouvernance, considérez la délégation. Vous n'avez ni le temps ni l'expertise pour analyser chaque proposition ? Déléguez votre pouvoir de vote à quelqu'un qui le fera. C'est gratuit et révocable à tout moment. Beaucoup de protocoles publient une liste de «délégués reconnus» sur leurs forums.
Enfin, diversifiez. Un protocole avec une gouvernance faible n'est pas forcément condamné, mais il présente un risque supplémentaire. Ne concentrez pas tous vos actifs sur une seule plateforme, surtout si sa gouvernance semble endormie. L'incident récent du hack Resolv qui a exposé 23 millions de dollars rappelle l'importance de cette diversification.
L'illusion de la décentralisation
L'attaque de Moonwell pose une question plus large : qu'est-ce que la décentralisation, vraiment ?
Un protocole peut être techniquement décentralisé (pas de serveur central, pas d'entreprise qui contrôle le code), mais si 95 % des décisions sont prises par trois gros détenteurs de tokens, est-il vraiment décentralisé dans son fonctionnement ?
La DeFi nous promet de remplacer les intermédiaires par du code et des votes collectifs. Mais dans la pratique, on observe souvent une re-centralisation de facto : quelques baleines, quelques développeurs influents, quelques membres hyperactifs de la communauté. Ce sont eux qui, en réalité, pilotent le protocole.
Ce n'est pas nécessairement un problème si ces acteurs sont bienveillants et compétents. Moonwell a été sauvé précisément grâce à cette élite vigilante. Mais cela signifie que la sécurité du protocole repose sur la confiance envers ces quelques personnes, ce qui ressemble étrangement au système traditionnel que la DeFi voulait remplacer.
Vers des gouvernances plus robustes
L'écosystème DeFi apprend de ses erreurs. Depuis l'incident Moonwell et d'autres similaires, plusieurs pistes d'amélioration émergent.
Certains protocoles expérimentent des systèmes de vote «quadratique» : au lieu que chaque token donne une voix, le pouvoir de vote augmente selon une racine carrée du nombre de tokens détenus. Cela limite l'influence démesurée des baleines et rend les attaques de gouvernance DeFi plus coûteuses.
D'autres mettent en place des «conseils de sécurité» : un petit groupe élu qui peut mettre son veto sur les propositions dangereuses, même si elles ont été votées. C'est une forme de centralisation assumée, mais qui ajoute une couche de protection. Des protocoles établis comme Aave avec sa version V4 intègrent désormais ces mécanismes de gouvernance avancés.
Des outils d'analyse automatique se développent également. Des services comme OpenZeppelin Defender ou Forta permettent de scanner les propositions de gouvernance et d'alerter en temps réel si quelque chose semble suspect.
Enfin, certains protocoles réfléchissent à des «récompenses de participation» : distribuer des tokens supplémentaires à ceux qui votent régulièrement, pour inciter à l'engagement. L'idée est séduisante, mais elle comporte le risque de créer des votants opportunistes qui valident tout sans réfléchir, juste pour toucher la récompense.
Ce qu'il faut retenir
La gouvernance décentralisée n'est pas automatiquement sûre. Un système de vote peut devenir une faille si la participation est trop faible. Sur Moonwell, 1 800 dollars ont suffi à menacer un million de dollars, simplement parce que personne ne votait.
Les protocoles se protègent peu à peu. Quorums plus élevés, périodes de timelock, délégation encouragée, outils d'alerte automatiques : l'écosystème apprend et s'adapte. Mais ces protections ne sont pas universelles. Chaque protocole a son niveau de maturité.
La vigilance reste humaine. Malgré tous les automatismes possibles, la sécurité finale repose souvent sur des individus attentifs qui repèrent les anomalies et mobilisent la communauté. C'est à la fois rassurant (il y a des gardiens) et inquiétant (que se passe-t-il s'ils dorment ?).
L'analogie de Nora : La gouvernance DeFi, c'est comme une assemblée de copropriété où seuls trois propriétaires sur cent se déplacent. Si vous ne participez pas, quelqu'un d'autre décidera à votre place — et ce quelqu'un n'a pas forcément vos intérêts en tête.
L'histoire de Moonwell n'est pas celle d'un échec, mais d'un avertissement. La DeFi nous donne des outils puissants pour gérer collectivement des systèmes financiers complexes. Encore faut-il s'en servir. La décentralisation sans participation, c'est une porte ouverte à deux battants.
