Build Finance DAO hostile takeover, treasury drained
|

Build Finance DAO subit une prise de contrôle

Dans ce qui semble être une prise de contrôle hostile de la gouvernance de la DAO Build Finance, l’attaquant a pu drainer les fonds de la DAO. Mais qualifier cet incident d’attaque est une question de définition ; l’attaquant, bien que ne jouant manifestement pas selon les intentions et les objectifs de la DAO, n’a enfreint aucune règle. Après tout, la DAO respectait le principe selon lequel « le code est la loi ».

La DAO Build Finance est un constructeur d’entreprise autonome décentralisé, détenu et contrôlé par la communauté. Build Finance produit, finance et gère les produits DeFi appartenant à la communauté. La DAO s’engage à identifier des idées commerciales, à organiser des équipes, à trouver des capitaux, à aider à gouverner les entités du produit et à fournir des services partagés. En d’autres termes, la DAO Build Finance est une DAO qui fournit des services à d’autres DAO.

Prise de contrôle totale de la trésorerie de la DAO.

Selon un tweet fil de discussion posté par le BuildFinance La gouvernance de la DAO a été prise en charge par un acteur malveillant qui a présenté et réussi à faire adopter une proposition de gouvernance visant à prendre le contrôle du contrat de jetons BUILD.

« L’attaquant a réussi à prendre le contrôle en obtenant un nombre suffisant de voix en faveur de la proposition et il n’y a pas eu suffisamment de contre-votes pour empêcher la prise de contrôle », peut-on lire dans le tweet.

Apparemment, cet incident n’était même pas le premier essai ; une précédente tentative de prise de contrôle malveillante a échoué, apparemment parce que l’attaquant manquait de fonds. L’attaquant, affichant le ENS Le domaine Suho.eth, selon le tweet, a procédé à la recharge et a réessayé, cette fois avec succès.

« En l’état actuel des choses, l’attaquant a le contrôle total du contrat de gouvernance, des clés de frappe et de la trésorerie. La DAO n’a plus le contrôle d’aucune partie de l’infrastructure des clés. N’achetez pas de jetons de la DAO sur aucune plateforme », peut-on lire dans le tweet.

Drainage des pools de liquidité Balancer et Uniswap

Selon l’annonce, l’attaquant a pu accéder à la trésorerie de la DAO en raison de la structure du modèle de gouvernance de la Build DAO ; il semble que l’attaquant ait simplement réussi à rassembler suffisamment de jetons de gouvernance pour prendre le pouvoir, et la DAO ne semble pas avoir mis en place de mécanismes pour défendre la trésorerie contre une telle prise de pouvoir.

Une fois que l’attaquant a eu le pouvoir, il a frappé 1 107 600 BUILD (1,7 million de dollars) en trois transactions et a drainé la majorité des fonds dans les pools de liquidité de la DAO. Balancer et Uniswap DEXs. L’attaquant a ensuite pris le contrôle des pools Balancer via le contrat de gouvernance et a drainé les fonds restants, dont 130 000 jetons METRIC, et a essayé de vendre ces jetons partout où il y avait des liquidités, provoquant une pression de vente intense sur les actifs.

Graphique montrant la baisse du prix du jeton BUILD.

À la suite de l’incident, la valeur marchande du jeton BUILD a chuté d’environ 1,5 $ juste avant l’attaque, à pratiquement zéro au moment de la rédaction de cet article. Le jeton METRIC, cependant, semble avoir traversé l’incident sans encombre, en fait, le prix du METRIC a augmenté de près de 80% au cours des dernières 24 heures.

« Il est difficile de voir un avenir pour le BUILD »

Selon le tweet de BuildFinanace, l’attaquant n’a le contrôle d’aucune partie du jeton METRIC ou de l’identifiant de l’utilisateur. Échange de métriques avec une mise en garde : le choc de l’offre a pu provoquer un changement important dans la distribution des jetons METRIC et il est toujours possible qu’un pourcentage de ces jetons soit sous le contrôle de mauvais acteurs non identifiés à ce jour.

« C’est avec un profond regret que nous devons informer la communauté de cette perte totale et irrémédiable des actifs du trésor de la BUILD DAO par les actes d’un seul acteur malveillant. »

Selon le tweet, les membres de l’équipe de Build Finance ont pris contact directement avec l’attaquant « mais il ne semble pas y avoir d’appétit pour un dialogue, et encore moins pour des réparations. »

« Il est difficile d’envisager un avenir pour BUILD avec seulement la reconnaissance de sa marque et ses actifs de propriété intellectuelle, et sans trésorerie liquide. »