Selon Cryptopolitan, le 10 juin, des attaquants anonymes ont réalisé, via des jetons Token of Power (TOP) représentant plus de 50% de l’offre en circulation, la création, le vote et l’exécution d’une proposition de gouvernance en une seule transaction. Après avoir frappé une grande quantité de nouveaux jetons, ils ont vidé la pool de liquidité Balancer V1 sur Ethereum, en extrayant 944,2 WETH (environ 1,58 million de dollars).
Mécanisme de l’attaque : comment 8 192 TOP permettent une prise de contrôle de la gouvernance en une seule transaction
L’offre totale de jetons TOP s’élève à 16 384 jetons. D’après l’analyse on-chain de Blockaid, l’attaquant a accumulé 8 192,000001 jetons TOP, juste au-dessus du seuil de 50%, ce qui lui donnait des droits de vote lui permettant d’approuver la proposition de gouvernance unilatéralement. Comme l’application Aragon Voting ne prévoit pas de verrouillage temporel, l’attaquant a réalisé les trois étapes en une seule transaction via un contrat dédié :
Création de la proposition de gouvernance : demander la frappe d’une grande quantité de nouveaux jetons TOP vers l’adresse de l’attaquant
Vote favorable : approbation unilatérale de la proposition grâce à des droits de vote supérieurs à 50%
Exécution immédiate et vidage de la pool de liquidité : les jetons TOP nouvellement frappés sont échangés contre 944,2 WETH dans Balancer V1 BPool
BlockSec Phalcon a confirmé le processus d’exécution de la proposition et de frappe des jetons. Balancer n’a, à lui seul, aucun bug ; l’attaquant a uniquement utilisé la pool de liquidité pour convertir des jetons TOP dont l’offre a été artificiellement augmentée en WETH.
Trajet des fonds : dépôt sur Tornado Cash et état du pistage on-chain
D’après l’analyse on-chain de Blockaid, la source initiale des fonds du portefeuille de l’attaquant provenait de Tornado Cash ; l’attaquant a effectué le dépôt via un contrat dédié en une seule transaction. Au moment du rapport du 10 juin 2026, 944,2 WETH restent traçables on-chain, mais l’ajout d’une étape de récupération des fonds et de vérification de l’identité de l’attaquant complique davantage le suivi de l’origine des fonds déposés via Tornado Cash.
Cause profonde : configuration de gouvernance manquante, pas un bug de programme de contrat intelligent
La cause profonde de cet incident réside dans une absence au niveau de la configuration de gouvernance, et non dans une erreur de programme de contrat intelligent au sens classique : toutes les fonctions de contrat fonctionnent selon la conception. Les paramètres manquants incluent notamment :
Sans verrouillage temporel : aucune période d’attente après l’adoption de la proposition, empêchant les autres détenteurs de jetons de réagir
Aucun délai lié à un quorum : absence d’exigence d’un seuil minimal de participation des détenteurs de jetons au vote
Aucun délai de création de proposition : la proposition peut être créée et exécutée dans le même bloc
L’offre totale de TOP ne compte que 16 384 jetons, ce qui réduit fortement le coût pour obtenir le contrôle de la majorité. La documentation officielle d’Aragon indique clairement que les autorisations d’appel pour des opérations sensibles, comme la frappe de jetons, doivent être limitées à des adresses autorisées, mais la configuration TOP n’a pas appliqué cette exigence.
Situation au moment de la publication : absence de déclaration, fonds toujours en ligne
Le rapport de Cryptopolitan confirme qu’au 10 juin 2026 : l’équipe Token of Power n’a publié aucune déclaration au sujet de cette vulnérabilité ; Aragon n’a publié aucune déclaration non plus ; 944,2 WETH restent traçables on-chain.
FAQ
Pourquoi cette attaque est-elle qualifiée de « faille de gouvernance » plutôt que de « faille de contrat intelligent » ?
Les vulnérabilités classiques de contrats intelligents signifient que l’attaquant contourne la logique attendue via des failles de code. Dans cet incident, toutes les fonctions de contrat ont été exécutées conformément à la conception : les votes de gouvernance fonctionnent normalement, et la frappe de jetons respecte les autorisations de configuration du DAO. La vulnérabilité tient au fait que la configuration DAO de TOP permet à un seul détenteur de contrôler intégralement le processus de gouvernance sans aucun délai, ce qui relève d’une absence de configuration, et non d’une erreur de code.
Le protocole Balancer doit-il porter une responsabilité ?
D’après l’analyse de Blockaid et de BlockSec Phalcon, le protocole Balancer ne présente aucune vulnérabilité en soi. L’attaquant a utilisé la fonction d’échange standard des jetons, permettant de convertir des jetons TOP dont l’offre a été artificiellement augmentée en WETH ; Balancer, en tant qu’outil de pool de liquidité, a été exploité, mais il n’est ni la cible de l’attaque ni la source de la vulnérabilité.
Quelles configurations de gouvernance peuvent empêcher ce type d’attaque ?
D’après la documentation officielle d’Aragon et l’analyse on-chain de cet incident, les trois paramètres suivants peuvent prévenir ce genre d’attaque : verrouillage temporel (mise en place d’une période d’attente entre l’adoption de la proposition et son exécution) ; seuil de quorum (exiger une participation d’au moins un certain pourcentage de détenteurs au vote) ; délai de proposition (autoriser le vote seulement après un temps d’attente suite à la création). Au moment du rapport du 10 juin 2026, TOP n’a appliqué aucun de ces paramètres.
