仅七个钱包批准了该提案,而数千名BONK持有者从未投票。这次攻击暴露了去中心化自治组织在治理方面的重大缺陷。
一场单一的治理投票彻底改变了BONK DAO的命运。一位匿名交易者花费约440万美元,随后掌控了价值2000万美元的国库。没有软件漏洞,没有智能合约故障。每一步操作都完全按照协议设计进行。这一怪异的现实在加密货币领域引发了新的担忧。许多人现在质疑,去中心化治理是否真能保护社区资金免受意志坚定且资金雄厚的参与者侵害。
攻击始于6月30日。一个匿名钱包向BONK DAO提交了一份治理提案。提案中隐藏着一条关键指令:国库将把4.43万亿枚BONK代币转移到提案者控制的一个钱包。批准需要获得相当于BONK总供应量1%的赞成票。在7月4日至5日期间,攻击者悄悄累积了该数量。资金来自币安和Bybit的购买,并通过DeFi借贷平台借入额外资金。这次收购行动花费约440万美元。这笔投资确保了足以决定提案结果的投票权。只有七个钱包投了赞成票。超过18000名社区成员从未参与。投票率仅为2.9%。该提案以刚好超过法定人数的极小优势获得通过。实际上,一个参与者批准了一项使同一钱包受益的提案。
该提案附带了一条乐观的信息。文本承诺重建BONK DAO并改进国库管理。然而,在这条信息深处,却藏着转账指令。投票结束后,智能合约自动执行了交易。价值约2000万美元的BONK立即离开了国库。区块链记录公开显示了每一步。没有任何环节绕过协议规则。
转账发生后约九小时,约有18.8万美元流入一家交易所,很可能是为了变现。据Chainalysis称,剩余的1900万美元被转入一个多签钱包。此类钱包需要多次批准才能进行后续转账。国库转账后约一小时,攻击者开始出售为获取投票权而购买的BONK。价值约530万美元的代币进入市场。国库代币未与这些出售混在一起。
BONK DAO随后确认了这一事件。项目负责人识别出与投票前代币购买相关的交易所钱包。各团队正与交易所、跨链桥以及Solana基金会合作,以限制进一步损失。执法机构也已接到通知。调查人员仍在努力追回资产并识别策划此次行动的人。
该事件在加密货币观察者中引发了分歧。一些人将其视为巧妙的利用,另一些人则将其描述为直接的盗窃。协议规则允许了所有行为,但社区预期受到了严重损害。每个DAO面前都摆着一个更大的教训:国库安全取决于治理设计,而不仅仅是智能合约。廉价的投票权可能成为一个昂贵的弱点。