Au 8 mai 2026, les pertes cumulées liées aux governance attacks et drainers ciblant des DAOs dépassent 2,8 milliards de dollars depuis The DAO de 2016, dont près de 612 millions sur la seule période 2024-2025 selon les données compilées par Rekt News et Chainalysis (Chainalysis, 2025). La promesse fondatrice d’une organisation autonome décentralisée, gérée collectivement par sa communauté, se heurte à trois grandes familles d’arnaques en 2026 : les faux gouvernances (multisigs maquillés en DAO, voting power concentré sur 1 % des holders), les governance attacks par flash loan style Beanstalk Farms ($182M en 17 minutes), et les drainer scripts qui détournent les signatures de transactions sur des sites de gouvernance frauduleux. Ce dossier détaille les cas fondateurs (The DAO 2016, Beanstalk 2022), les techniques drainer 2024-2026 documentées par ScamSniffer, et la checklist concrète pour distinguer une DAO légitime d’une coquille marketing avant d’engager le moindre capital.

Au programme

  • The DAO 2016, Beanstalk 2022 et l’évolution des governance attacks jusqu’en 2026.
  • Drainer scripts et signatures malveillantes : la principale menace 2024-2026.
  • Checklist pour distinguer une DAO légitime (audit OZ, treasury onchain, voting réel) d’un faux gouvernance.

Avertissement. Cet article décrit des techniques d’arnaques publiquement documentées à fin éducative. Aucune information ici ne constitue un conseil en investissement. Vérifiez systématiquement les contrats, les audits et les flux on-chain avant toute interaction avec une DAO.

Pourquoi les DAOs concentrent autant de scams en 2026 ?

Une DAO mêle trois ingrédients à risque maximal : un trésor on-chain souvent à plusieurs millions, un code de gouvernance complexe, et une communauté décentralisée par définition difficile à mobiliser en cas d’attaque. En 2026, près de 78 % des DAOs majeures concentrent plus de 90 % des droits de vote sur moins de 1 % des wallets, ce qui ouvre un boulevard aux prises de contrôle hostiles et aux faux gouvernances (Chainalysis, 2025).

Le décalage entre la promesse théorique et la réalité on-chain alimente l’écosystème scam. Beaucoup de protocoles vendent une étiquette “DAO” sans en respecter les fondamentaux : multisig 2-of-3 contrôlé par les fondateurs, vote symbolique sur Snapshot sans exécution on-chain, treasury transférée sur un EOA hors de la portée du token-holder. Ces structures ne sont pas des DAOs, ce sont des sociétés classiques avec une couche cosmétique de tokenomics.

L’autre vecteur, plus récent, vient du phishing. Les drainer scripts ciblent directement les utilisateurs qui interagissent avec ces gouvernances : faux site Snapshot, fausse interface Tally, faux portail Aragon. L’utilisateur signe ce qu’il croit être un vote, autorise en réalité un transfert illimité, et perd son wallet en quelques secondes (ScamSniffer, 2024).

The DAO 2016 : le scam fondateur à 60 millions de dollars

The DAO, lancée en avril 2016 sur Ethereum, a levé environ 150 millions de dollars en ETH avant qu’une faille de réentrance ne permette à un attaquant de drainer 3,6 millions d’ETH (60 millions de dollars à l’époque) en quelques heures. L’événement a forcé un hard fork d’Ethereum le 20 juillet 2016, scindant la chaîne en ETH (post-fork) et ETC (chaîne originale) (Gemini Cryptopedia, 2023).

Le code de The DAO contenait une fonction splitDAO qui envoyait l’ETH à un contrat enfant avant de mettre à jour le solde du holder. Un attaquant a pu rappeler récursivement cette fonction et siphonner les fonds avant la mise à jour du state. Cette faille de réentrance est devenue le cas d’école du développement Solidity et a engendré le modificateur nonReentrant désormais standard (Halborn, 2022).

L’épisode a marqué deux leçons structurelles. Première leçon : le code n’est pas la loi quand les enjeux deviennent systémiques, et la communauté Ethereum a choisi le rollback contre l’idéologie. Seconde leçon : une DAO est aussi solide que son audit, et The DAO n’avait pas été audité par une firme spécialisée avant le lancement. Aujourd’hui encore, certaines DAOs réutilisent du code non audité hérité de cette époque, ce qui constitue le premier red flag à vérifier.

Beanstalk Farms 2022 : la flash loan governance attack à 182 millions

Le 17 avril 2022, un attaquant a emprunté en flash loan environ 1 milliard de dollars en stablecoins, acquis temporairement la majorité des droits de vote de Beanstalk Farms, fait passer une proposition de transfert de fonds vers son propre wallet, puis remboursé le prêt en 17 minutes pour une perte nette de 182 millions de dollars pour le protocole (Halborn, 2022). C’est à ce jour la governance attack la plus emblématique de l’histoire DeFi.

Comment fonctionne une flash loan governance attack

Le mécanisme combine trois failles. D’abord, la DAO acceptait des propositions exécutables immédiatement après vote, sans timelock obligatoire. Ensuite, le voting power était directement proportionnel au stake de tokens à un instant T, ce qui permettait d’acquérir temporairement une majorité par flash loan. Enfin, la proposition emergencyCommit permettait l’exécution sans délai après le seuil atteint.

L’attaquant a construit la séquence en une seule transaction Ethereum : flash loan Aave + dépôt sur Beanstalk + soumission de la proposition + exécution + retrait + remboursement. La transaction a coûté environ 53 ETH en gas, pour un retour net immédiat de 182 millions de dollars (Rekt News, 2025).

Les contre-mesures appliquées depuis 2022

Trois patches sont devenus standards dans les gouvernances DeFi sérieuses depuis cet épisode. Premièrement, un timelock obligatoire de 24 à 72 heures entre l’adoption d’une proposition et son exécution. Deuxièmement, un snapshot du voting power à un block antérieur au début de la période de vote, ce qui rend la flash loan inutile. Troisièmement, un quorum minimum combiné à des seuils d’urgence beaucoup plus élevés (Trail of Bits, 2024). Toute DAO en 2026 sans ces trois garde-fous doit être considérée comme structurellement vulnérable.

Drainer scripts 2024-2026 : la nouvelle vague selon ScamSniffer

Sur la période 2024-2025, les drainer scripts ont volé environ 494 millions de dollars à plus de 332 000 victimes Web3, dont une part croissante via de faux portails de gouvernance DAO imitant Snapshot, Tally, Aragon et Safe (ScamSniffer, 2024). Ces kits “drainer-as-a-service” se louent contre 20 % des fonds volés et abaissent drastiquement la barrière technique pour lancer une campagne phishing.

Le mode opératoire reste constant en 2026. L’utilisateur reçoit un lien (Discord, Telegram, X, email) annonçant un airdrop, un vote critique sur sa DAO favorite, ou une migration de tokens urgente. Le site cloné reproduit fidèlement l’interface Snapshot ou Tally. Au moment de “voter”, la signature demandée est en réalité une autorisation Permit2 ou un setApprovalForAll qui donne au drainer le droit de transférer tous les tokens du wallet (Inferno Drainer dossier, 2023).

Les vecteurs les plus actifs en 2024-2026 sont identifiés. Les faux votes Arbitrum DAO ont fait plus de 12 millions de dollars de victimes en 2024. Les faux airdrops liés à des LayerZero ou zkSync DAOs ont siphonné des wallets entiers en juin et septembre 2024. Les fausses migrations Uniswap V4 ont émergé début 2025 (ScamSniffer, 2024). À chaque fois, l’utilisateur croit voter ou réclamer, il signe en réalité une délégation totale.

Faux gouvernances : quels red flags repérer ?

Une fausse DAO se reconnaît à six signaux objectifs lisibles on-chain en moins de dix minutes : multisig à seuil bas, voting power ultra-concentré, treasury sur un EOA, absence d’audit reconnu, propositions sans exécution effective et token avec fonctions admin cachées. Sur les ~200 organisations actives référencées par DeepDAO en 2025, moins de 30 % satisfont l’ensemble de ces critères (DeepDAO, 2025, estimation rédactionnelle à partir des dashboards publics).

Multisig 1-of-N ou 2-of-3 contrôlé par les fondateurs

Une DAO crédible exécute ses transitions critiques via un multisig à seuil élevé (5-of-9, 7-of-12) avec des signataires vérifiables. Si la treasury est gérée par un Gnosis Safe 2-of-3 dont les trois signataires partagent la même boîte mail ou le même fournisseur cloud, la décentralisation est fictive. L’analyse on-chain via Etherscan permet de croiser les signataires en quelques minutes (Trail of Bits, 2024).

Voting power concentré sur moins de 1 % des wallets

Sur Snapshot, le ratio “tokens votants / supply circulante” doit dépasser 5 % pour qu’un vote soit représentatif. Quand un seul wallet contrôle plus de 30 % des votes, ou que les dix premiers contrôlent plus de 80 %, la DAO fonctionne comme un conseil d’administration camouflé (Snapshot, 2026). Outils utiles : Dune Analytics, DeepDAO et Boardroom listent ces concentrations en temps réel.

Treasury hors-DAO et tokens à fonctions admin

Le treasury doit résider sur un contrat dont l’admin est la DAO elle-même, pas un EOA contrôlé par l’équipe. Côté token, la présence de fonctions mint, pause, blacklist ou de proxies upgradables sans gouvernance constitue une porte dérobée. Tout audit OpenZeppelin, Trail of Bits, Halborn ou ConsenSys Diligence sérieux signale ces patterns dans son rapport public (Halborn, 2024). Pour comparer les wallets utilisés pour signer ces transactions, voir notre comparatif wallets crypto.

DAOs légitimes vs scams : la checklist en 2026

Les DAOs structurellement saines en 2026 partagent six attributs vérifiables : audit récent par firme tier-1, treasury 100 % on-chain, voting on-chain avec timelock, quorum atteint régulièrement, code open-source et historique d’au moins 18 mois de propositions exécutées sans incident. MakerDAO (rebrandé Sky depuis l’Endgame Plan, token de gouvernance MKR remplacé par SKY, DAI complété par USDS, migration exécutée le 7 avril 2026), Aave et Compound cochent ces six cases ; la majorité des DAOs lancées depuis 2023 n’en cochent que deux ou trois (CryptoSlate, 2024).

Le tableau récapitule la checklist applicable avant toute interaction.

Critère Signal positif Red flag
Audit OpenZeppelin, Trail of Bits, Halborn ou ConsenSys, rapport public Pas d’audit, audit interne, firme inconnue
Treasury Contrat on-chain contrôlé par la DAO, multisig 5+ signataires EOA, multisig 2-of-3, signataires anonymes
Voting On-chain avec timelock 24-72h, snapshot block antérieur Snapshot off-chain seul, exécution immédiate
Concentration Top 10 wallets sous 50 % du voting power Un wallet > 30 %, top 10 > 80 %
Code GitHub public, commits réguliers, issues ouvertes Repo privé, code obfusqué, fonctions admin cachées
Historique 18+ mois, propositions exécutées, postmortems publiés Lancée < 6 mois, aucune proposition réelle

MakerDAO (Sky), Aave, Compound : les références

MakerDAO opère depuis 2017 avec un système de Maker Improvement Proposals (MIPs) voté on-chain et exécuté avec timelock. Le protocole a été rebrandé en Sky dans le cadre de l’Endgame Plan : le token de gouvernance MKR a été remplacé par SKY et le DAI complété par le stablecoin USDS, la migration ayant été exécutée le 7 avril 2026 (BlockEden, 2025). Aave utilise un système similaire avec AIPs et un Safety Module à 7 signataires. Compound a popularisé le Governor Bravo, framework repris par des dizaines d’autres DAOs (Snapshot, 2026). Tous trois disposent de plusieurs audits annuels et d’un historique de gestion de crise (March 2020 sur MakerDAO, mars 2023 USDC depeg sur Aave) qui prouve la solidité des process.

Sources d’information à croiser avant tout vote

DeepDAO pour la concentration de voting power. Tally pour visualiser les propositions on-chain. Snapshot pour l’historique off-chain. Etherscan ou Arbiscan pour les contrats. DefiLlama pour les flux treasury. Croiser ces cinq sources prend quinze minutes et bloque la grande majorité des scams. Pour rester informé des alertes en temps réel, voir notre sélection de channels Telegram crypto qui inclut les feeds ScamSniffer et de plusieurs équipes audit.

Tornado Cash et l’évolution réglementaire 2024-2025

L’OFAC a sanctionné le mixeur Tornado Cash le 8 août 2022, ajoutant ses smart contracts à la SDN list, une décision invalidée le 26 novembre 2024 par le 5e Circuit (arrêt Van Loon vs Treasury) qui a jugé qu’un smart contract immutable ne constitue pas une “propriété” sanctionnable au sens de l’IEEPA (OFAC Treasury, 2024). Le 21 mars 2025, le Treasury a publié le press release sb0057 actant le retrait complet des smart contracts Tornado Cash de la SDN list, tout en maintenant les sanctions ciblant les wallets individuels des opérateurs.

L’épisode Tornado Cash dépasse le simple cas d’un mixeur. Il pose la question de la responsabilité juridique des développeurs de DAOs et de protocoles autonomes. Roman Storm, l’un des co-fondateurs, a été inculpé aux États-Unis en août 2023. Son procès s’est tenu de juillet à août 2025 devant la Southern District of New York : le 6 août 2025, le jury a rendu un verdict mixte, le condamnant pour conspiracy to operate an unlicensed money transmitting business tout en restant deadlocked sur les chefs de blanchiment et de violation de sanctions (Mayer Brown, 2025). Le DOJ a annoncé un nouveau procès partiel pour octobre 2026 (Protos, 2025) ; Storm reste libre sous caution en attente du sentencing. Cette décision sert déjà de jurisprudence pour les développeurs de protocoles décentralisés.

Conséquences pratiques pour les DAOs en 2026. Les fondateurs publient désormais leurs disclaimers juridiques explicites, recourent à des fondations en juridictions favorables (Cayman, Suisse, Singapour) et structurent les multisigs pour limiter l’exposition individuelle. Côté utilisateurs, l’interaction avec des protocoles ayant fait l’objet de sanctions (même partielles) reste juridiquement risquée selon la juridiction de résidence (Chainalysis, 2025).

Pour mettre en perspective les hacks de gouvernance dans l’écosystème global, voir notre top 10 des plus gros hacks crypto qui place Beanstalk et The DAO dans le contexte des exploits cross-chain.

FAQ

Une DAO peut-elle vraiment être 100 % décentralisée en 2026 ?

En théorie oui, en pratique très peu. Sur les ~200 organisations actives référencées par DeepDAO en 2025, moins de 5 % satisfont les six critères de décentralisation effective : audit tier-1, treasury on-chain, voting on-chain avec timelock, top 10 sous 50 %, code public et 18+ mois d’historique (DeepDAO, 2025, estimation rédactionnelle). Sky (ex-MakerDAO), Aave et Compound restent les exemples les plus aboutis.

Comment vérifier qu’une DAO n’est pas un scam avant d’investir ?

Quinze minutes suffisent en croisant cinq sources : DeepDAO (concentration), Tally (votes on-chain), Snapshot (historique off-chain), Etherscan (contrats et signataires multisig) et DefiLlama (treasury et flux). Vérifiez aussi la présence d’un audit récent par OpenZeppelin, Trail of Bits, Halborn ou ConsenSys (Trail of Bits, 2024). Tout protocole sans ces signaux doit être traité comme high-risk.

Qu’est-ce qu’une flash loan governance attack et comment s’en protéger ?

C’est une attaque où l’attaquant emprunte temporairement assez de tokens pour acquérir la majorité du voting power, fait passer une proposition malveillante et rembourse le prêt en une seule transaction. Beanstalk Farms a perdu 182 millions de dollars en 17 minutes en avril 2022 (Halborn, 2022). La protection passe par un timelock obligatoire et un snapshot du voting power à un block antérieur.

Pourquoi les drainer scripts ciblent-ils autant les votes DAO en 2026 ?

Parce que les utilisateurs ont perdu leur méfiance face aux interfaces de gouvernance. ScamSniffer a documenté plus de 494 millions de dollars volés via drainer scripts en 2024-2025, dont une fraction croissante via faux Snapshot, faux Tally et faux Aragon (ScamSniffer, 2024). Vérifiez systématiquement le domaine, le nom du contrat dans Metamask Rabby et la nature exacte de la signature demandée avant de signer.

Tornado Cash est-il toujours sanctionné en 2026 ?

Partiellement. Le 5e Circuit a invalidé les sanctions le 26 novembre 2024 (Van Loon vs Treasury), puis le Treasury a retiré les smart contracts Tornado Cash de la SDN list le 21 mars 2025 (press release sb0057) (OFAC Treasury, 2025). Restent sanctionnés les wallets identifiés des opérateurs. Côté pénal, Roman Storm a été condamné le 6 août 2025 pour exploitation d’un service de transmission monétaire sans licence, le DOJ visant un nouveau procès partiel en octobre 2026. L’interaction avec le protocole reste juridiquement sensible selon la juridiction de résidence et l’origine des fonds.

Conclusion

Au 8 mai 2026, les DAOs combinent un potentiel d’innovation gouvernance réel et une surface d’attaque parmi les plus larges de la crypto-économie. The DAO 2016 reste le scam fondateur, Beanstalk 2022 le cas d’école des governance attacks par flash loan, et les drainer scripts 2024-2026 documentés par ScamSniffer la principale menace pour les utilisateurs finaux. La règle pratique tient en trois lignes : auditer les contrats avant tout dépôt, vérifier la concentration du voting power et la structure du treasury, ne jamais signer une transaction issue d’un lien non vérifié.

Pour aller plus loin sur les vecteurs d’attaque crypto, consultez notre top 10 des plus gros hacks crypto, notre comparatif wallets pour mieux signer vos transactions de gouvernance, et notre sélection de channels Telegram crypto pour suivre les alertes ScamSniffer en temps réel. Pour explorer les autres facettes de la finance décentralisée, voir l’index catégorie DeFi.

Sources

Nous ajouter à vos sources préférées sur Google