Logo

La sécurité en action - Un vrai piratage, et comment le DAO a repris le contrôle

June 9, 2026
La sécurité en action - Un vrai piratage, et comment le DAO a repris le contrôle

Hier, le DAO a voté sur quelque chose de bien plus sérieux qu’un test.

L’un de nos utilisateurs s’est fait pirater. Toute son activité, NFT et structure de partenaires, a été volée. Et hier, par vote de la communauté, elle a été rendue à son propriétaire légitime.

Beaucoup d’entre vous ont demandé l’histoire complète. La voici, sans filtre : ce qui s’est passé, comment cela a été réglé, ce que ça prouve sur la façon dont ce protocole est construit, et la nouvelle couche de sécurité que nous ajoutons à cause de cet incident.

Ce qui s’est passé

L’un de nos participants a vu son wallet compromis. L’attaquant a obtenu l’accès à la seed phrase du wallet, la clé maîtresse de tout ce qu’il contenait.

Soyons précis sur un point : il ne s’agissait pas d’une faille de la plateforme ni des smart contracts. Le protocole lui-même n’a jamais été compromis. L’attaquant est entré dans le wallet de l’utilisateur à l’ancienne, en volant les clés.

À ce moment-là, la fonction Business Sale était temporairement activée. Nous l’avions activée plus tôt dans le cadre du test de gouvernance du DAO, et nous l’avions annoncé publiquement. L’attaquant a profité de cette fenêtre ouverte. Avec le contrôle du wallet compromis, il a déclenché un transfert d’activité et déplacé tout le compte de la victime, le NFT et toute la structure de l’arbre de partenaires, vers sa propre adresse.

Une activité bâtie pendant des mois, disparue en une transaction.

Avant toute chose, le point le plus important

Pour comprendre comment cela a été réglé, vous devez d’abord comprendre ce qui ne pouvait PAS arriver.

L’équipe n’a aucun accès à votre activité. Aucun.

Nous ne pouvons pas déplacer votre NFT. Nous ne pouvons pas toucher votre structure. Nous ne pouvons pas geler, saisir ni transférer quoi que ce soit dans votre compte. Ce n’est pas une règle que nous pourrions modifier discrètement demain, c’est ainsi que les smart contracts sont construits, confirmé par l’audit CertiK, et imposé par la blockchain elle-même.

C’est ce que la décentralisation veut dire, en vrai. Si nous pouvions entrer dans les comptes et « réparer » les choses nous-mêmes, vos actifs ne seraient jamais plus sûrs que notre bonne foi, et vous devriez nous faire confiance comme vous faites confiance à une banque. C’est exactement le modèle que ce protocole a été conçu pour remplacer.

Donc, quand le piratage a eu lieu, il n’y avait aucun bouton admin sur lequel appuyer. Il ne pouvait pas y en avoir. Et c’est volontaire.

Comment cela a vraiment été réglé

Ce qui existe, en revanche, c’est le DAO.

La victime a contacté le support. Son leader upline, la personne qui l’avait initialement fait entrer dans l’écosystème, l’a soutenue et a confirmé la situation. L’équipe a vérifié l’identité du propriétaire et son contrôle exclusif d’un nouveau wallet sécurisé. Puis le seul mécanisme ayant l’autorité pour agir a été lancé : un vote de la communauté.

Deux propositions ont été mises on-chain :

1. Désactiver Business Sale. La phase de test de gouvernance était de toute façon terminée, et le chemin de transfert ouvert était précisément la surface utilisée par l’attaquant. Le DAO a voté pour désactiver la fonction sur tout le protocole. Elle reste désactivée jusqu’à ce qu’un futur vote en décide autrement.

2. Récupérer le compte volé. Le DAO a autorisé la migration de la position volée, le NFT, la structure, tout ce qui y était attaché, depuis l’adresse de l’attaquant vers un nouveau wallet contrôlé uniquement par le propriétaire vérifié. Pas vers le wallet d’origine : celui-là est toujours compromis, et y renvoyer l’activité reviendrait à la remettre directement au même attaquant.

Les deux propositions ont été adoptées. Les deux ont été exécutées on-chain. Les textes complets des propositions sont publics sur la page du DAO pour ceux qui veulent chaque détail.

Résultat : le propriétaire reprend son activité depuis un wallet sécurisé. L’adresse de l’attaquant se retrouve avec rien.

Pour mémoire, le DAO a aussi le pouvoir de geler entièrement un compte malveillant. Dans ce cas, ce n’était même pas nécessaire, la migration elle-même a retiré à l’attaquant toutes les positions qu’il détenait.

Ce que cela prouve

Nous avions prévu un test de gouvernance pour valider les propositions, le vote et l’exécution. À la place, nous avons eu un incident réel qui a mis tout le modèle de sécurité sous pression.

Le modèle a tenu :

  • L’équipe seule ne pouvait rien faire, par conception.

  • La communauté, via le DAO, pouvait faire tout ce qu’il fallait : fermer la surface d’attaque, dépouiller l’attaquant, rétablir le propriétaire.

C’est exactement l’intérêt de cette combinaison. Aucune partie seule, ni l’équipe, ni un individu, ne peut toucher vos actifs. Mais la communauté, en agissant ensemble par un vote on-chain ouvert, peut rétablir la justice quand quelque chose tourne mal.

Les plateformes centralisées vous donnent le second sans le premier. La plupart de la DeFi vous donne le premier sans le second. Ce protocole a les deux.

Ce que vous devez faire tout de suite

Les défenses du protocole ont fonctionné. Mais cet incident a commencé là où la plupart des incidents commencent : avec un wallet compromis. La couche de sécurité la plus solide, c’est celle que vous mettez en place vous-même.

Trois choses, aujourd’hui :

1. Définissez votre mot de passe financier. Un mot de passe séparé, requis pour déplacer des fonds, indépendant de votre connexion. Si un escroc entre dans votre compte sans l’avoir, il se heurte à un mur.

2. Activez chaque couche de sécurité que la plateforme vous fournit. Codes TAN pour les transactions, 2FA, et le bot Telegram officiel pour la vérification des actions. Chaque couche est un obstacle de plus qu’un attaquant doit franchir.

3. Protégez votre seed phrase comme si c’était l’activité elle-même. Parce que c’est le cas. Ne la saisissez jamais sur aucun site web, ne la partagez jamais avec qui que ce soit, ne la stockez jamais dans des notes cloud ni dans des captures d’écran.

Si ces couches ne sont pas configurées, un attaquant qui entre peut aller vite. Chaque couche que vous activez le ralentit ou l’arrête complètement.

Nouveau : le Secret Code

Ce cas nous a montré où une couche supplémentaire avait du sens. Alors nous l’ajoutons.

Dans la semaine qui vient, nous déployons le Secret Code , un nouvel élément du système de sécurité des comptes.

Comment ça marche :

  • Quand vous générez votre mot de passe financier, le système crée un Secret Code, un mot aléatoire, affiché une seule fois.

  • Si vous avez déjà un mot de passe financier, votre code vous sera aussi affiché.

  • Notez-le et conservez-le hors ligne. Traitez-le comme vous traitez une seed phrase.

  • À partir de là, toute demande sensible adressée au support en matière de sécurité, réinitialisation d’un mot de passe financier, actions de récupération, tout ce qui entre dans cette catégorie, exigera que vous indiquiez votre Secret Code.

Pas de code, pas de changement. Même si un attaquant prend le contrôle de votre e-mail ou de vos messages, il ne peut pas se faire passer pour vous auprès du support sans ce mot.

Le vote d’hier n’a pas seulement réparé un compte. Il a démontré, en production, avec de vrais enjeux, que ce protocole peut protéger ses utilisateurs sans que personne détienne un pouvoir centralisé sur eux.

L’utilisateur attaqué a récupéré son activité. L’attaquant est reparti sans rien. La communauté l’a rendu possible, ouvertement, on-chain, par vote.

La justice a gagné. C’est le système qui fonctionne exactement comme prévu.