Analyse approfondie des détails et objectifs derrière l'attaque de gouvernance de Compound : un gros poisson reprend le contrôle d'un ancien protocole DeFi
TechFlow SélectionTechFlow Sélection
Analyse approfondie des détails et objectifs derrière l'attaque de gouvernance de Compound : un gros poisson reprend le contrôle d'un ancien protocole DeFi
La légendaire baleine Humpy, célèbre pour avoir pris le contrôle de Balancer, frappe à nouveau.
Dédié à des analyses Web3 approfondiesRédaction : @Web3Mario
Résumé : Avec la fin du congrès Bitcoin de ce week-end dernier, les détails des discussions continuent d’émerger, confirmant globalement mes analyses antérieures. Par exemple, la stratégie de Trump consistant à adopter une politique énergétique pour séduire les passionnés de Bitcoin, ou encore sa tentative de valoriser le Bitcoin comme marchandise en insistant sur des changements supposés dans l’attitude officielle, notamment via l’idée d’une « réserve stratégique ». Ce que je n’avais pas anticipé, c’est que son allocution s’est transformée en un rassemblement électoral typiquement « trumpien », parsemé d’arguments non fondés et d’attaques contre ses adversaires, suscitant naturellement des réserves quant à la sincérité de certaines de ses promesses. En tout état de cause, cette affaire semble désormais close. Mon attention s’est donc tournée vers d’autres événements, dont l’un particulièrement intrigant : une attaque de gouvernance contre Compound. Ayant longtemps travaillé dans le domaine du DeFi, j’ai été vivement intéressé par cette information, que j’ai approfondie afin d’en analyser les tenants et aboutissants ainsi que les mécanismes techniques sous-jacents, que je partage ici avec vous. Globalement, l’attaque de gouvernance subie par Compound résulte d’une tentative menée par une « baleine » DeFi visant à s’emparer par vote de la gouvernance des jetons COMP inactifs détenus dans le trésor de Compound, afin d’acquérir un contrôle total sur le protocole.
La légendaire baleine Humpy, déjà victorieuse sur Balancer, frappe à nouveau
Ce n’est pas la première prouesse de cette célèbre baleine. Précédemment, durant l’été 2022 du DeFi, elle avait lancé une attaque de gouvernance contre Balancer. En accumulant massivement des jetons BAL de gouvernance et en exploitant le mécanisme veBAL de Balancer, elle a pris le contrôle de la majeure partie des incitations accordées aux pools de liquidité, établissant ainsi une domination sur le protocole. À ce jour, Humpy est devenu le deuxième détenteur de jetons BAL, juste derrière l’équipe officielle.
Sur cet événement emblématique, Messari a publié un rapport remarquable, que je recommande vivement aux curieux. Combien d’entre vous connaissent bien le mécanisme veBAL de Balancer ? Pour rappel rapide : à l’époque du « DeFi Summer », chaque projet cherchait à stimuler sa croissance via une conception innovante de tokenomics. Curve, alors DEX central pour les stablecoins, avait introduit en premier le modèle veCRV, qui connut un grand succès. Le format veToken devint alors une norme répandue parmi les DEX.
Balancer, un autre projet phare du secteur, traversait alors une période de stagnation innovationnelle et décida donc d’imiter ce modèle en lançant son propre système veBAL. L’idée centrale était d’associer l’allocation d’une ressource concurrentielle interne (ici, les récompenses de liquidité) à un processus de vote de gouvernance. Cela créait massivement des scénarios de « vote acheté » (vote-buying), rendant la participation à la gouvernance lucrative, encourageant ainsi une implication active de la communauté dans le développement du protocole, tout en donnant une assise de valeur tangible au jeton de gouvernance — phénomène alors qualifié de « capture de valeur via la gouvernance ».
Dans le cas des DEX, cette ressource concurrentielle correspond aux incitations en jetons de gouvernance allouées aux pools de liquidité opérant sur la plateforme. La proportion de ces récompenses attribuées à chaque pool est déterminée par un vote. Pour obtenir des droits de vote, les détenteurs doivent verrouiller leurs jetons pendant une longue période, réduisant ainsi l’offre circulante et soutenant la capitalisation boursière. Plus un pool obtient de votes, plus il reçoit d’incitations BAL, ce qui pousse des projets tiers à offrir leurs propres jetons en échange du soutien des détenteurs de veBAL — un processus généralement facilité par des applications dédiées. Toutefois, Humpy a exploité une faille présente dans la conception initiale du système veBAL de Balancer.
On le sait, le modèle économique fondamental d’un DEX repose sur les frais de transaction. Pour attirer les traders, les DEX cherchent à maximiser leur liquidité afin d’offrir des transactions à faible glissement. Ainsi, le design veBAL ne devrait pas s’écarter de cet objectif principal : augmenter les frais générés. Or, dans sa conception initiale, Balancer n’imposait aucune restriction sur le type de pools pouvant bénéficier des incitations — seule la quantité totale de votes comptait. Cela signifiait qu’un pool pouvait recevoir une grande part des récompenses simplement en obtenant suffisamment de voix veBAL, même s’il n’avait aucune activité commerciale. Un tel vide a ouvert la porte aux manipulations de baleines. Et Humpy en a profité.
La stratégie offensive de Humpy se compose de deux volets : d’abord, acquérir un contrôle absolu sur la liquidité d’un pool afin de capter la majorité des récompenses lors du minage, puis, obtenir un nombre massif de votes pour diriger les incitations vers ce même pool. C’est ainsi qu’il a pu asseoir un contrôle effectif sur le protocole. Il a commencé par prendre des positions sur des jetons de projets peu actifs mais à forte capitalisation boursière, éliminant ainsi les concurrents potentiels. Ensuite, il a créé un pool de liquidité avec des frais exorbitants (1 %), dissuadant toute utilisation réelle et décourageant les fournisseurs de liquidité motivés par les frais. Grâce à cette double manœuvre, il a établi un contrôle total sur un pool spécifique. Puis, en achetant massivement des jetons BAL sur le marché secondaire, en les verrouillant pour obtenir des veBAL, et en votant massivement pour son propre pool, il a orienté la majeure partie des incitations BAL vers ses coffres. Malheureusement, cela n’a généré aucun gain supplémentaire en frais de transaction pour Balancer — seul Humpy en a profité. Un conflit d’intérêts flagrant entre les intérêts d’une baleine et la pérennité du projet, conduisant inévitablement à des tensions.
Face à cette attaque vampirique, l’équipe officielle de Balancer n’est pas restée inactive. Elle a réagi par de nouvelles propositions visant à contrer Humpy : limiter la liste des pools éligibles aux incitations, soumettre toute extension de cette liste à une validation officielle, plafonner les récompenses pouvant être attribuées à un pool unique, etc. Après une série de confrontations, un compromis a finalement été trouvé. Mais en pratique, rien n’a empêché Humpy d’asseoir progressivement son contrôle sur Balancer — sa position actuelle de deuxième détenteur de BAL en témoigne clairement. Cette situation a posé les bases de son attaque récente contre Compound.
S’emparer de Compound en capturant la gouvernance des COMP inactifs du trésor
Les faits ci-dessus remontent à 2022. Après deux années de silence, Humpy lance aujourd’hui une nouvelle tentative de prise de contrôle contre un autre géant historique du DeFi : Compound. Cette fois, pas question de veBAL ; son regard se porte sur les droits de gouvernance associés aux énormes quantités de COMP inactifs détenus dans le trésor de Compound.
Il ne joue pas directement cette fois, mais orchestre l’opération via un projet baptisé Golden Boys (ou organisation). Ce projet revêt la forme d’un Meme à composante financière. Son produit phare est un jeton ERC-20 nommé $GOLD. Officiellement, les détenteurs de $GOLD sont invités à espérer davantage que de simples attributs culturels. Sur le site et les blogs, on insiste sur un point : la valeur de $GOLD est garantie par Humpy, la baleine, grâce à son expérience, ses capitaux et ses avantages stratégiques. Détenez $GOLD, et vous êtes symboliquement juché sur le dos de la baleine. Pourtant, il n’existe aucun produit structuré, ni agrégateur de rendements. Simplement, des incitations en liquidité sont attribuées entre $GOLD et quelques jetons majeurs. Certaines de ces récompenses proviennent de l’émission de nouveaux $GOLD, d’autres sont des récompenses BAL. Cette dernière source découle naturellement de l’influence de Humpy sur Balancer, qui lui permet, via ses énormes réserves de veBAL, d’obtenir des taux élevés de minage de liquidité (j’en suis arrivé là dans mon analyse, et je ne peux m’empêcher de saluer l’ingéniosité de celui qui a réussi à s’imposer ainsi).
Une fois ces éléments en place, un nouveau produit appelé « goldCOMP Vault » est lancé. En substance, les utilisateurs peuvent y déposer leurs jetons COMP, en transférant leurs droits de gouvernance aux Golden Boys, et reçoivent en échange un jeton de mise en gage nommé goldCOMP. Ce jeton est négociable, et peut être fourni comme liquidité dans le pool 99goldCOMP-1WETH sur Balancer, où les poids 99 et 1 indiquent une pondération très déséquilibrée, entraînant un glissement quasi nul et des pertes impermanentes négligeables.
En fournissant cette liquidité, les participants reçoivent des incitations en $GOLD. Notez bien : ces récompenses ne sont pas en BAL, mais en GOLD — un choix logique puisque cela renforce le contrôle des Golden Boys sur le taux d’intérêt du pool, étant donné qu’ils maîtrisent entièrement l’émission de $GOLD. Actuellement, le taux annoncé est de 180 %, bien que le TVL reste modeste. Je me demande toutefois depuis quand Balancer autorise-t-il l’affichage officiel d’un jeton tiers comme incitation directe au staking ? N’ayant pas suivi les développements récents, je l’ignore. Si cette fonctionnalité n’est pas une option publiquement configurable par Balancer, alors force est de constater une fois de plus la vulnérabilité tragique des protocoles face à de telles prises de contrôle.
Une fois tous ces dispositifs en place, Golden Boys lance son attaque de gouvernance contre Compound. Dès mai, une première proposition est soumise : transférer 5 % des COMP détenus par le trésor de Compound — soit 92 000 jetons — vers un portefeuille multisig contrôlé par Golden Boys, puis les déposer dans le vault goldCOMP pour générer des revenus de minage de liquidité, avec un blocage d’un an. Évidemment, l’objectif premier est d’acquérir les droits de gouvernance liés à ces jetons. Cette proposition n’a pas été approuvée : l’entité bénéficiaire semblait trop rudimentaire, sans activité réelle derrière, et l’utilisation des jetons dépendait entièrement d’un portefeuille multisig, ce qui augmentait fortement le risque de mauvaise utilisation. La communauté a massivement rejeté l’idée.
Mais Humpy ne s’avoue pas vaincu. Il engage le dialogue avec la communauté, affirmant que l’utilisation du contrat « timelock » de Compound pour approuver toute action du multisig pourrait atténuer les risques. Le 20 juillet, une deuxième proposition est lancée, montant inchangé, mais accompagnée d’un ajout : un contrat « Trust Setup » serait implémenté pour superviser le multisig. En examinant réellement le code de ce contrat, je constate qu’il ne fait que définir trois états simples : lorsque le timelock de Compound met à jour le contrat pour autoriser l’investissement, le multisig peut alors utiliser librement les jetons. Cette proposition a également été rejetée, mais les voix favorables ont nettement augmenté. On commence à croire que Golden Boys progresse dans ses améliorations, ralliant peu à peu davantage de soutiens. Jusqu’à ce que, aujourd’hui, la troisième proposition soit adoptée, surprenant tout le monde.
Attention : la proposition adoptée aujourd’hui présente une différence cruciale. Le volume de COMP demandé n’est plus de 92 000, mais atteint désormais le chiffre extravagant de 499 000 jetons. Pourtant, la communauté, confiante, pensait aisément repousser ce « complot » de Humpy. Le résultat est stupéfiant : la proposition est passée de justesse, avec un bond de six fois du nombre de votes favorables en seulement dix jours — un scénario totalement imprévu. Clairement, tout cela faisait partie d’un plan soigneusement orchestré par Humpy. Sauf retournement de situation, avec l’approbation de cette proposition, Humpy deviendra effectivement le maître de facto de Compound, capable de diriger toute future initiative. Compte tenu de ses réserves actuelles, déjà supérieures à celles de ses opposants, et ajoutées aux droits de vote des 499 000 nouveaux COMP, la prise de contrôle de Compound semble désormais inéluctable.
L’impact de cet événement est sans précédent. Tous les protocoles DeFi doivent désormais revoir leurs modèles de gouvernance pour éviter des scénarios similaires. Je continuerai de suivre attentivement l’évolution de cette affaire. Je crois que la communauté de Compound réagira vigoureusement. Quant à savoir comment ce conflit va évoluer, l’exemple de Balancer nous montre qu’il est difficile de prévoir l’issue.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@web3_mario
