Pour trésoreries dao
Des trésoreries à huit ou neuf zéros tournent sur des Safes, Snapshot, et quelques clés sur hardware wallets. On s'assure que l'architecture est défendable, devant un tribunal comme devant la communauté.
Modèle de menace
Un multi-sig 5-sur-9 avec des signataires qui ne se connaissent pas personnellement, c'est une vraie surface d'attaque. DM Discord usurpés, fausses invitations calendrier, simulation de transaction malicieuse, la couche sociale du multi-sig est ce que ciblent les attaquants.
Les DAOs approuvent régulièrement des transactions qui appellent des contrats non audités. La communauté voit le titre de la proposition ; le multi-sig signe la calldata. Sans process de revue, la gouvernance devient la vulnérabilité.
Fonds sur Ethereum, L2s, marchés de prêt, LSTs, RWAs, la surface de trésorerie grandit avec chaque stratégie de yield. Suivre exposition, custody et risque de contrepartie est un travail continu, pas trimestriel.
Les DAOs ont besoin d'un chemin d'escalade écrit et d'une équipe de réponse pré-autorisée. Sans ça, chaque incident devient un thread de forum au lieu d'une réponse coordonnée.
Les DAOs combinent les montants d'un hedge fund avec la rigueur opérationnelle d'un serveur Discord. Combler cet écart, sans perdre la décentralisation qui les définit, c'est le travail.
Services recommandés
Auditez le Wallet Setup de la trésorerie et des signataires, surveillez le Safe et les adresses satellites clés, et mettez en place un retainer Incident Response pour les jours où le forum ne peut pas bouger assez vite.
Architecture de wallet de trésorerie pour configurations multi-sig et MPC. Choix des signataires, runbooks opérationnels, formation.
En savoir plus →
Monitoring on-chain continu des wallets de trésorerie, admin et opérationnels. Alertes temps réel et analyste d'astreinte.
En savoir plus →
Réponse à incident Web3 et récupération de fonds après exploit DeFi ou drain de wallet. Astreinte, traçage on-chain, communication.
En savoir plus →
À lire
Les trésoreries DAO combinent des bilans de hedge fund avec une opérationnelle de serveur Discord. Voici le playbook qui referme l'écart sans sacrifier la décentralisation.
Lire l'article →
Multi-sig et MPC ne sont pas interchangeables. Voici comment chacun échoue en pratique, à quoi chacun sert, et comment choisir pour une vraie trésorerie.
Lire l'article →
Les wallet drainers ont évolué du simple phishing de seed phrase à des écosystèmes drainer-as-a-service sophistiqués. Les patterns 2026 (phishing d'approval gasless, abus EIP-712, pièges de délégation ERC-7702) et comment se défendre.
Lire l'article →
Glossaire
Multi-Sig (Multi-Signature)
Wallet qui exige plusieurs signatures de clés distinctes pour autoriser une transaction.
Safe (Gnosis Safe)
Le principal wallet multi-sig smart-contract sur les chaînes EVM, utilisé par la plupart des DAOs et des trésoreries de protocoles.
Phishing
Attaque d'ingénierie sociale qui pousse un utilisateur à approuver une transaction malicieuse ou à révéler des identifiants.
Approval Phishing
Phishing qui pousse un utilisateur à signer une approval qui permet à l'attaquant de drainer les actifs plus tard.
