BonkDAO国库遭1%代币控权盗取2000万
恶意治理提案致国库清空:440万购得控制权
2026年7月6日,一未知实体利用合法流程从BonkDAO国库中转移4.43万亿枚BONK代币,价值约2000万美元。该操作未依赖智能合约漏洞或私钥泄露,而是通过在币安、Bybit及多个DeFi借贷平台累计持有略超总供应量1%的BONK实现。随后,攻击者在Solana的Realms平台上提交国库转账提案,并以99.9%的压倒性支持率通过。
极低投票率下完成权力接管
尽管拥有超过18,000名成员的社区,实际参与投票的钱包仅有7个,投票率仅为2.9%。在此背景下,控制者无需说服任何持异议者,仅凭选票数量即可完成对国库的单方面控制。提案通过后,资金立即自动划转,未设置延迟机制。
攻击路径:资本主导而非技术入侵
整个过程更接近一场精心策划的资本收购,而非传统黑客攻击。攻击者通过中心化交易所购入代币,并借助借贷市场借入持仓,有效规避价格波动影响。一旦突破法定人数门槛,即启动治理提案流程。其成功关键在于社区参与度严重不足,导致系统防御形同虚设。
核心机制缺失暴露治理缺陷
安全分析指出,此次事件暴露出两大关键设计缺失:一是缺乏执行时间锁,使提案通过后资金可即时转移;二是无紧急多签干预机制,无法在异常情况下阻止恶意转移。当前国库安全完全依赖于投票率,而2.9%的参与度意味着只需极小成本即可完成控制。
历史案例揭示治理模式共性风险
此类事件并非首例。包括Beanstalk Farms(2022)、Build Finance(2022)、Tornado Cash(2023)、Compound(2024)及Balancer TOP pools(2026)在内的多个项目均因合法投票导致国库失守。其中五个案例中,代码严格按预期运行,损失源于治理结构本身,而非技术错误。唯有Compound在高投票量下引发质疑并逆转结果,凸显高参与度对系统稳定性的重要性。
合法行为还是非法侵占?法律边界之争
支持者认为,若所有交易链上有效,则不应视为犯罪。当治理控制权价格低于国库价值时,购买控制权属于经济理性行为。反对者则强调,即便流程合规,以少数人利益掠夺多数人共享资产仍构成实质盗窃。传统公司法中对少数股东保护的原则,应延伸至去中心化组织。目前执法部门已介入调查。
市场反应剧烈,技术指标全面转弱
BONK价格在消息公布后24小时内下跌7%-10%,触发Upbit与Kraken暂停充提服务。技术图表显示,价格已跌破50、100、200周期均线,形成三线压制,当前位于0.00000422美元。相对强弱指数(RSI)为34.92,逼近超卖区,但尚未出现明显反弹信号。下方支撑位在0.00000400美元,跌破后可能下探至0.00000380美元的历史低位。
未来走向取决于资产动向与监管先例
4.43万亿枚被盗代币仍由攻击者掌控,构成持续抛售威胁。各交易所恢复充提后,或将重开流动性出口。观察重点将转向攻击钱包是否向跨链桥或混币器转移。对整个Solana DAO生态而言,此事件成为基于Realms治理架构的压力测试。预计短期内将有多项协议推动增设时间锁与紧急委员会机制。更重要的是,法庭如何界定“代码即法律”与“实质性盗窃”的界限,将成为决定未来DAO法律地位的关键先例。
一分钟读懂:2026年7月,一名匿名攻击者仅以440万美元购入1% BONK代币,便通过低参与率投票成功接管BonkDAO国库并转移2000万美元。事件暴露了治理机制在代码合规下的法律与经济双重风险。
