免责声明:金色财经所有资讯仅代表作者个人观点,不构成任何投资理财建议。请确保访问网址为(jinse.com.cn) 举报

    BonkDAO被治理提案掏空2000万美元 攻击者怎么做到的

    陶朱,金色财经

    摘要:2026年7月7日,Solana生态Meme币项目BONK相关的BonkDAO遭遇“恶意治理提案”攻击,攻击者通过伪造/操纵治理投票成功执行异常提案,从国库中转移约2000万美元的BONK代币。被盗资金流向多家加密交易所,引发市场抛压。

    一、黑客如何“合法”盗走2000万美元BONK代币?

    Bonk官方X发文官宣BonkDAO被盗:

    BonkDAO 成为了一项恶意治理提案的目标,导致价值约 2000 万美元的 BONK 代币从 BonkDAO 国库中被盗。 在调查过程中,BonkDAO 识别出了在提案之前用于购买 BONK 的交易所钱包。BonkDAO 目前正积极与交易所、跨链桥以及 Solana 基金会合作,以最佳方式应对这一情况。 执法部门已收到通知。BonkDAO 继续与相关方合作,以追回资金并追查责任人。

    ZFtdY0HIVyqc9xiB3KfVJVwj8TkKuO3uDyGZJl71.jpeg

    此次攻击是通过治理投票进行的,而非利用智能合约漏洞。

    美国东部时间周一凌晨 4 点刚过,超过4.4 万亿枚 BONK 代币(当时价值约 1930 万美元)从 BonkDAO 的金库钱包转移到一个以“JHvQ”结尾的地址。Solana 区块链浏览器 Solscan 显示,该钱包的资金来源于Bybit账户。当天下午 3 点 30 分(美国东部时间),这些代币再次被转移,这次转移到了另一个以“eh42”结尾的 Solana 地址。这两个地址均未向其他地址进行进一步的代币转移。

    是什么让这一切成为了可能?

    答案是“Sowellian BonkDAO” 提案。

    此次攻击事件的核心机制涉及 BonkDAO 提交并通过其自身治理平台的一项提案——BonkDAO 改进提案 #76(Bonk Improvement Proposal #76)。该提案名为“Sowellian BonkDAO”,其承诺包括“实施 Sowellian 治理模式、任命新成员与理事会、实现浴火重生、将持仓资产变现以及止损”。此外,该提案还抛出了一项激励措施:所有投“赞成”票的人都有资格获得 BONK 代币作为奖励。然而,这一奖励承诺并未兑现。那些被转移至“JHvQ”钱包地址的代币并未分发给投票者,而是在数小时后被转入了另一个地址。

    其中的运作机制值得关注。攻击者在投票前购入足量 BONK 代币以获取治理权,从而得以在链上合规地推动该提案获得通过。BonkDAO 随后确认,已查明用于在提案前购入 BONK 的交易所钱包地址。

    2wUd2AmmF5nKREefyjLlv7JrmCpT36v8exYZyhl9.jpeg

    二、外界的反应

    交易所

    • 韩国交易所Upbit表示,事件发生后已暂时中止BONK代币的充值和提现,Upbit 还明确表示,暂停充值和提现是为了保护用户。

    • 美国交易所 Kraken 也暂停了 BONK 代币的充值和提现。

    普通用户

    • Starrider:你们本该像承诺给粉丝的那样销毁那1万亿枚币。结果你们却搞了个rug pull,在最后一刻改变了游戏规则。 仍然支持你Bonk,但对这个突然的转变感到失望。

    • Chuck Wheelock:你看,取消销毁摧毁了人们对你仅存的信任。  既然你们毁了我们的信任,现在我们不相信这是外部行为者……  明白这是怎么回事吗???

    • Tosin coinbeee:Bonk,别慌张,他们知道你有多强大、多优秀,这就是他们那么做的原因。他们在考验你,他们希望你提升自己,他们已经看到了你的计划。

    • EffE:如果它是通过投票通过的,那它怎么能算是黑客行为?

    • Futardio Cult:听到这个消息我真的很遗憾。该死。 Futards 们都站在 Bonk 一边。你很快就会度过这个难关。

    三、本次攻击造成了哪些影响?

    当前BONK面临的直接问题是抛售压力。如果被盗代币流入流动性较强的交易场所,攻击者可能会试图在订单簿中抛售,从而给BONK带来短期下行压力。即使没有全部抛售,大量被盗代币的存在也会对市场情绪造成影响,因为交易者可能会将未来清算的风险计入价格。截至发稿,BONK报0.00000441美元,24小时跌幅8.51%。

    FLFsczMOsq4fq21OHGtI4FIGNTyQbSMHVvB5x6Bu.jpeg

    其次是对BonkDAO的信心。BONK是Solana平台上知名的Meme币,有庞大的散户社区支持。其影响力并不仅限于Meme币炒作,还涉及一些交易所的交易产品,这就会导致本次攻击影响层面扩大。投资者会关注提案是如何通过的、投票权是否集中、是否存在延迟执行,后续的补救措施是否能真正生效。

    BonkDAO能否修复此次攻击带来的信任问题,重建关注者们对其治理流程的信心是决定BONK未来走向的重要因素。

    四、为何黑客青睐治理攻击?

    本次BonkDAO攻击凸显了加密货币治理中反复出现的弱点。DAO通常标榜自己是社区主导的系统,但许多DAO仍然依赖提案流程,而如果投票权、审查窗口、合约权限或执行阈值设计不当,这些流程就很容易被操纵。

    治理攻击最大的特点,在于攻击者利用协议原本设计好的治理机制完成攻击,而不是利用智能合约漏洞。如果一项提案通过 DAO 自身的机制获得通过并执行,即使其意图明显恶意,未经授权的窃取和治理失败之间的界限在操作层面也更难界定。

    在治理攻击中,代币加权投票赋予持有大量代币的股东更大的权力;积累足够的代币来影响投票通常比查找代码漏洞更容易;许多 DAO,尤其是Meme币项目,拥有大量资金,但使用相对简单的治理系统;一旦提案获得通过,撤销交易就极其困难。这也使得治理攻击变得越来越普遍,并最终让BonkDAO也中招。

    五、DAO们应该如何反思?

    此次黑客攻击发生后,加强DAO治理保护的必要性需要提上日程,如:为提案添加时间限制,以便让社区有时间做出反应;实施更高的法定人数要求或基于投票;引入针对大额资金流动的紧急多重签名控制;定期安全审查,重点关注治理参数;随着越来越多的项目将大量资金置于社区治理之下,确保决策过程的安全与确保智能合约的安全同等重要。

    六、还有哪些项目曾发生过治理攻击?

    1.Beanstalk

    2022年4月,去中心化稳定币协议Beanstalk遭遇DeFi历史上最著名的治理攻击之一。攻击者利用Aave等协议借入约10亿美元资金,通过闪电贷瞬间获得Beanstalk绝大多数治理投票权,随后提交了一项看似正常、实际上包含恶意资金转移逻辑的治理提案。由于Beanstalk当时没有治理延迟,提案在同一笔交易中完成借币—投票—执行—还款整个流程。最终攻击者成功转走约1.82亿美元资产,仅支付了数十万美元Gas费用。

    2.Mango Markets

    2022年10月,Solana生态DeFi协议Mango Markets遭遇约1.16亿美元攻击。攻击者Avraham Eisenberg通过大量买入MNGO代币并操纵其价格,使自己的抵押资产价值虚高,从而借出平台绝大部分资产。事件发生后,他又利用自己控制的大量MNGO治理权发起DAO提案,要求社区承认其行为属于合法套利,并允许其保留约4700万美元作为漏洞赏金。虽然此次事件本质属于市场操纵结合治理控制,但也暴露出治理代币过度集中带来的巨大风险。

    3.Build Finance

    2022年2月,以太坊DAO项目Build Finance遭遇治理攻击。攻击者收购大量BUILD治理代币后,成功获得DAO控制权,并提交恶意提案。提案通过后,修改DAO管理员权限;控制国库;将协议资金全部转移至攻击者地址。整个过程完全按照治理流程执行,没有利用任何智能合约漏洞,因此被称为合法抢劫。Build Finance损失约47万美元。

    4.Compound DAO

    2024年7月,Compound DAO内部一项Proposal 289在巨大争议中获得通过。由巨鲸"Humpy"及其组织"Golden Boys"控制的多个地址,通过市场购买、借入并委托大量COMP投票权,最终以682,191票对633,636票的微弱优势通过提案。提案内容是将约49.9万枚COMP(当时价值约2400万美元,占国库约5%)划拨给由Golden Boys控制的收益协议,引发社区大量成员质疑这是一次治理劫持。虽然整个过程符合DAO投票规则,但由于投票权高度集中、社区参与率偏低,被认为暴露了代币治理机制的重大缺陷。

    5.Balancer

    2026年6月,Balancer生态与Token of Power(TOP)相关的流动性池遭遇治理攻击。攻击者通过控制治理权限,修改了资金池的关键参数,并最终导致约158万美元资产被盗。事件发生后,Balancer团队迅速暂停受影响池子的运行,并配合安全机构展开调查。业内分析认为,此次事件并非传统智能合约漏洞,而是治理权限被攻击者接管后,对协议正常功能进行了恶意利用,暴露了DAO治理机制的安全隐患。

    jinse.com.cn 2
    好文章,需要你的鼓励
    jinse.com.cn 2
    好文章,需要你的鼓励
    参与评论
    0/140
    提交评论
    文章作者: / 责任编辑:

    声明:本文系金色财经原创稿件,版权属金色财经所有,未经授权不得转载,已经协议授权的媒体下载使用时须注明"稿件来源:金色财经",违者将依法追究责任。

    提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。

    金色财经 > 金色财经 > BonkDAO被治理提案掏空2000万美元 攻击者怎么做到的
    • 寻求报道
    • 金色财经中国版App下载
      金色财经APP
      iOS & Android
    • 加入社群
      Telegram
    • 意见反馈
    • 返回顶部
    • 返回底部