BONK DAO治理漏洞致2000万美金国库被掏空

440万美元合法夺权,BONK国库遭系统性掏空

一场看似合规的治理流程,却导致价值2000万美元的BONK代币从国库中被完全转移。攻击者未利用任何技术漏洞,所有操作均严格遵循协议规则,仅凭资金优势与极低的投票参与率便完成控制权夺取,凸显当前去中心化治理模式中的结构性风险。

低参与度下单点操控成为可能

事件始于6月30日,一名匿名钱包提交了包含关键转账指令的提案,要求将4.43万亿枚BONK转入其控制地址。达成通过条件仅需相当于总供应量1%的赞成票。在7月4日至5日期间,攻击者通过币安与Bybit购入并借助DeFi借贷平台融资,累计投入约440万美元,精准获得所需投票权重。最终仅有七个钱包投出赞成票,投票率不足3%,远低于社区共识预期,提案以微弱多数通过。

自动化执行揭示治理设计盲区

尽管提案附带改善治理的声明,但核心内容实为资产转移指令。投票结束后,智能合约自动执行交易,约2000万美元价值的BONK立即脱离国库。链上数据清晰记录全过程,无任何绕过规则行为。随后约18.8万美元流入交易所,疑似用于变现;剩余1900万美元转入多签钱包,需多重授权方可动用,目前处于冻结状态。

项目方已确认攻击者所用钱包与前期代币购买行为相关,并正联合交易所、跨链桥及Solana基金会展开追查。执法机构亦介入调查,试图追踪资金流向并识别幕后主体。该事件在社区内部引发激烈争论:部分观点认为这是对规则的极致运用,另一些则视其为对社区信任的公开掠夺。根本问题在于,即使协议完全合规,若治理设计缺乏抗操纵机制,再高的去中心化名义也无法抵御资本主导的系统性风险。