BonkDAO 治理攻击致2000万美金代币流失

BonkDAO 财库遭恶意提案劫持,超两千万元资产被定向转移

2026年7月6日,一项未经察觉的治理提案在执行后导致BonkDAO财库中约2000万美元的BONK代币被清空。此次事件并非由智能合约漏洞引发,而是攻击者利用了DAO自身的投票机制,在合规流程下完成了资金转移。

攻击路径依赖链上投票权积累,非技术漏洞利用

调查揭示,攻击者通过多个交易所钱包在数日内逐步购入大量BONK代币,构建起足以主导提案表决的投票权重。该过程未触发任何系统警报,使得恶意提案在通过前长期处于隐蔽状态,成为本年度Solana生态中最严重的治理型资金盗取案例之一。

价格应激反应显著,短期跌幅逾九个百分点

消息披露后,市场迅速出现抛售潮。BONK价格在数小时内从约0.48美元滑落至最低0.415美元,跌幅超过9%。1日走势图显示,7月6日晚间出现明显断崖式下跌,反映出投资者对项目安全性的严重质疑。

攻击机制解析:基于正常投票流程的系统性滥用

链上数据显示,攻击者累计持有价值约400万美元的BONK代币,以此获取足够投票资格。其操作完全遵循Solana Realms平台的代币加权投票规则,未绕过任何代码逻辑。一旦提案经社区投票通过,资金即刻转入攻击者控制的钱包,整个过程在链上透明且不可逆。

与三月攻击本质差异:从用户端欺诈转向组织层劫持

本次事件与2026年3月发生的Bonk.fun攻击存在根本区别:前者为前端钓鱼诱导用户签署恶意授权,导致个人钱包失窃;而本次则直接针对DAO集体财库,不涉及个体用户资产损失。由于交易由治理系统合法执行,恢复难度极大,对项目长期发展和社区信任构成更深远威胁。

治理攻击频发背后的技术与结构诱因

随着去中心化治理普及,此类攻击正呈现上升趋势。主要原因包括:代币持有量决定投票权,大额持仓者可轻易操控结果;积累代币成本远低于挖掘代码漏洞;多数meme类项目虽拥有巨额财库,却采用基础治理模型。一旦提案落地,几乎无法撤销,形成“合法即不可逆”的高危模式。

追索行动展开,但逆转可能性极低

BonkDAO已联合交易所、跨链桥服务商及Solana基金会启动追踪程序,并确认了用于建立投票头寸的交易所钱包地址。目前Upbit已暂停BONK充值与提现功能以防止资金外流。然而,鉴于攻击系通过合法治理流程完成,资金追回仍面临巨大挑战,实际回收概率较低。

治理安全升级迫在眉睫,需重构决策防护体系

此事件警示所有去中心化组织必须强化治理防御能力。潜在改进方向包括引入时间锁机制以延长决策周期,提高法定人数门槛或采用信念投票制,对大额资金转移设置多重签名审批,定期开展治理参数专项审计。未来,保护治理流程本身将与保障智能合约同等重要,成为项目可持续发展的核心环节。