

并非传统黑客入侵,而是一场按既定协议执行的“制度性掠夺”——由于投票参与度趋近于零,一个匿名钱包仅以约440万美元代价便完成对BonkDAO国库的定向转移。这一事件揭示了当前多数去中心化组织在治理机制设计上的根本性脆弱。
在2026年6月底提交的提案中,攻击者请求将约4.426万亿枚BONK转入个人地址。尽管该操作在当时规则下具备形式合法性,但其成功依赖于极端低下的投票活跃度:全网仅有7个钱包参与,赞成票量仅略高于法定门槛(约8799.5亿枚),实际达成率高达99.9%。整个过程由中心化交易所快速完成代币积累,利用节假日低潮期实现低成本捕获。
大多数代币化DAO采用简单数学逻辑:投票权等于快照时刻持有的代币数量。一旦系统未设置动态门槛或时间延迟,任何具备足够资本的个体均可通过短期集中购入代币,突破法定人数并主导结果。在本次事件中,攻击者于7月4日至5日完成代币囤积,借助周末低关注度窗口推动提案通过,最终触发链上自动转账,全程未触及智能合约漏洞。
关键异常:法定人数设定为固定数值,随代币总量增长而相对稀释;支出权限无上限且可指向任意地址;提案一旦通过即刻执行,缺乏审查缓冲期。
持有者基数庞大但普遍沉默,形成“高市值、低参与”的结构性矛盾。攻击者无需收购项目整体,只需获取沉睡代币即可掌控投票权。此次事件中,约1%的流通供应量(8822.85亿枚)花费440万美元即完成控制,充分暴露了社区治理中“氛围驱动”无法替代流程保障的现实困境。
单一机制难以抵御系统性风险。理想方案需结合多重防护层:采用动态调整的法定人数以应对参与度波动;引入支出上限与白名单机制限制资金流向;设置24至72小时强制延迟窗口,并赋予守护者团队否决权;鼓励活跃委托网络,提升整体治理透明度与抗捕获能力。
一旦链上执行完成,即便行为完全合规,也几乎不存在技术性逆转可能。在本案例中,约4.43万亿枚代币被转移,其中部分流入交易所,其余暂存于多签钱包。后续行动主要依赖社区舆论压力、交易所配合或未来参数修改,而非直接链上回滚。
警惕长期固定的低门槛法定人数、无明确用途的大额转账权限、即时生效机制、薄弱的委托生态以及在低关注度时段发起敏感投票。当治理代币出现非正常集中买入时,应立即启动风险评估程序。
此事件属典型治理攻击,非技术性黑客行为,所有操作均符合现有规则。攻击者仅需跨越法定人数阈值并获得绝对多数支持即可成功。虽然理论上可通过质押或锁定投票权提高成本,但在当前多数项目中仍属缺失项。作为持有者,最有效的自我保护方式是主动参与投票或委托给可信受托人。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.