BonkDAO 治理攻击致2000万代币失窃,链上机制成安全盲区

BonkDAO 治理机制遭利用,数千万美元资产被合法转移

作为 Solana 上热门 Memecoin BONK 的核心治理实体,BonkDAO 已证实其金库中价值约2000万美元的代币因一场通过合法投票流程实施的攻击而流失。此次事件成为今年最严重的基于治理流程的去中心化组织资金被盗案例之一,再次引发对代币加权投票系统安全性的广泛质疑。

低门槛投票催生单一控制权,攻击者悄然掌控决策权

攻击者并未突破任何技术防线,而是利用了治理流程本身的可乘之机。他们通过多个关联交易所钱包逐步积累约400万美元价值的BONK代币,形成分散购买假象,最终在仅7个地址参与投票的情况下,使名为“BIP #76 – Sowellian BonkDAO”的提案获得压倒性支持。链上数据显示,该提案总投票权重中,攻击者占比高达99.878%。

极低参与率放大少数人影响力,治理失效风险凸显

尽管官方宣称拥有超18,000名成员,但此次提案仅有7个钱包参与,投票率不足2.9%。这一极低的参与水平为单一大额持仓者主导结果提供了温床。提案内容以“重建与止血”为名,明确承诺将约4.43万亿枚BONK(执行时估值约2000万美元)转入指定钱包,并向支持者发放代币激励,埋下潜在警报信号。

合规操作触发资金外流,撤销交易面临技术与法律困境

整个过程完全符合既定规则:无代码漏洞、无权限越界、无私钥泄露。攻击者仅需在满足法定人数门槛后部署投票即可完成执行。由于资金转移由治理系统自动触发,且区块链上记录完整合法,目前尚无有效手段在技术或法律层面逆向撤销该笔交易,导致追回难度极大。

市场剧烈波动,交易所紧急冻结服务应对风险

消息公布后,BONK价格在短时间内下跌8%至10%,一度跌破0.42美元。市场反应不仅源于直接损失,更反映出对基于Solana生态的治理结构稳定性的普遍忧虑。为防范进一步风险,Kraken与Upbit已暂停BONK充提功能,同时PeckShield追踪到约14.8万美元被盗代币流入OKX,提示攻击者可能正试图快速变现。

多方协同响应,但修复机制仍存结构性障碍

BonkDAO已联合交易所、跨链桥、Solana基金会及执法机构展开调查。其识别出用于积累投票头寸的多个交易所钱包,并提交交易轨迹供溯源。然而,由于交易本身具备合法性,现有机制难以从链上层面进行干预,使得追赃与制度修正成为长期挑战。

治理安全短板暴露,行业亟需系统性重构

此事件揭示出多数去中心化组织在治理设计中的共性缺陷:低参与度易被资本操纵。专家建议引入时间锁机制以延长反应窗口,提高法定人数门槛,或采用基于持有时长的信念投票模型。对于大型金库交易,应强制设置多重签名审批,避免单一节点决定重大资产动向。这提醒所有DAO:治理安全必须与代码安全同等重视,否则再完善的合约也无法抵御人为操控。