

尽管未出现代码漏洞、私钥泄露或钓鱼链接,但BonkDAO仍遭遇严重资金损失——约2000万美元的BONK代币在链上被转移至攻击者钱包。此次事件的核心并非技术入侵,而是一场对治理规则的系统性滥用。
BONK是基于Solana网络的模因币,其社区组织通过去中心化自治方式管理资产。成员可提交治理提案,经投票后自动执行。这一设计本意是实现透明决策,却成为本次攻击的关键入口。
6月30日,一个匿名地址提交名为“BIP #76 – Sowellian BonkDAO”的提案,表面宣称将推行“索维尔式治理”,重建委员会并变现资产以稳定生态。然而,其核心指令仅有一行:将约4.4万亿枚BONK转入指定钱包。
该提案需获得相当于总供应量1%的赞成票方可生效。攻击者并未发动大规模宣传,而是直接购买了所需票数。7月4日至5日,另一钱包在Bybit与币安平台耗资约440万美元购入相应数量代币。
最终投票结果几乎精确匹配需求:8823.8亿枚赞成票,恰好超过8799.5亿枚的法定门槛。投票率仅为2.9%,超过1.8万名成员未参与。99.9%的“支持”实则源于单一实体的自我投票,随后协议按预设逻辑自动执行转账。
被盗代币从财库转入以“JHvQ”结尾的地址,经链上分析确认由Bybit账户注资。同日下午3点30分(美东时间),这些资产被迅速转至另一个以“eh42”结尾的Solana地址。
承诺的选民奖励从未发放。代币未分配,反而在数小时内完成二次转移,行为模式指向刻意隐藏身份。安全机构PeckShield指出,其中约14.8万美元已流入OKX交易所。
严格而言,此次事件不构成传统意义上的“黑客攻击”。攻击者未利用智能合约漏洞,所有操作均符合链上规则。问题根源在于治理设计缺陷。
缺乏时间锁、最低投票人数限制或多签验证机制,使得一个资金充足的参与者能用440万美元换取对2000万美元资产的控制权。若设有延迟执行机制,社区可及时介入;若启用多签审批,异常交易可被冻结。
BonkDAO已向执法部门报案,并联合Solana基金会、中心化交易所及跨链桥展开追查。目前识别出用于购币的交易所钱包,表明其已将事件定性为攻击行为。
但治理攻击极难逆转,因其依赖协议本身的合法性流程。一旦提案通过,系统即自动执行,难以追溯或撤销。
面对如此规模的事件,市场反应相对克制。攻击发生后24小时内,BONK价格下跌约7%。多家交易所采取防御措施——韩国Upbit与美国Kraken暂停了该代币的充值和提现,理由为“应对安全事件,保障用户权益”。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.