登录
注册
据 Woofun AI 消息,Solana 生态头部 Meme 项目 BonkDAO 遭遇了一场无需黑客技术的治理攻击,导致价值约 2000 万美元的资产被转移。这场由 KarenZ 与 Foresight News 披露的事件,并非源于代码漏洞,而是攻击者精准利用了去中心化自治组织(DAO)中“唯票数论”的规则盲区,完成了一次教科书式的"合法"资产掠夺。
北京时间 2026 年 7 月 7 日凌晨,BONK 官方在 X 平台确认,一项恶意治理提案已导致财库中近 2000 万美元的 BONK 代币被划转。该事件的核心在于一份于 6 月 30 日提交至 Realms 平台的提案,编号为 BIP 76,标题为"Sowellian BonkDAO"。提案内容看似宏大,声称要实施"Sowellian"治理方案,包括更换成员、重建委员会、处置持仓以止损,并承诺向赞成者发放代币。
然而,剥去这些行业术语的外衣,其真实意图直指财库核心:将超过 4.4 万亿枚 BONK 代币(即那 2000 万美元资产)全额划归至攻击者指定的单一地址。极具讽刺意味的是,提案名称中的"Sowellian"一词,恰恰源自 Solana 治理平台 Realms 自身的治理预测市场系统名称。Realms 设计该机制的初衷,本是通过引入经济博弈来奖励优质决策、惩罚恶意行为,但攻击者却反其道而行之,利用平台引以为傲的博弈规则,将这一机制变成了掠夺资产的完美工具。BONK 官方随后表示,已识别出在提案前买入代币的交易所钱包,正与币安、Bybit 以及 Solana Foundation 协同处理后续事宜。
这场攻击的成功,建立在攻击者精心计算的数学题之上,其核心在于极低的治理参与度与巨额的筹码投入。Woofun AI 整理数据显示,在 6 月 30 日提案发起后,攻击者采取了极为直接的"钞能力"策略。在过去几天内,攻击者从币安和 Bybit 两家交易所提取了总计 8822.85 亿枚 BONK 代币 至链上,这批筹码价值 440 万美元,刚好满足最低 1% 的投票门槛。当投票开启时,由于 BonkDAO 日常治理参与度极低,整个投票周期内仅有 7 个地址参与。攻击者利用其持有的 8822.85 亿枚代币,在 Realms 系统中投出了赞成票,瞬间占据了 99.878% 的投票权重,从而取得了压倒性的绝对控股权。7 月 7 日,投票结果正式公布,提案顺利通过。智能合约随即按照既定规则,自动将财库中 4.4 万亿枚(约合 2000 万美元)的 BONK 划转至攻击者口袋,整个过程严丝合缝,未触发任何安全警报。
为何如此明显的恶意提案能一路绿灯?这暴露了 BonkDAO 在防御机制上的致命缺失。在成熟的 DAO 治理架构中,通常设有三道关键防线来抵御此类突袭。首先是投票有效门槛,涉及核心资产划转的提案,理应大幅提高最低参与人数和通过率要求,以防止少数人突袭。其次是时间锁(Timelock)机制,即提案通过后必须锁定 3 到 7 天才能执行,这段缓冲期允许社区发现异常,并由多签管理员(Multisig) 或核心团队行使一票否决权(Veto) 进行拦截,甚至紧急修改合约。最后是延迟投票机制,旨在防止攻击者在投票截止前一刻,利用闪电贷或巨额资金瞬间操纵结果。遗憾的是,BonkDAO 缺乏上述足够的防御缓冲和多签干预机制,导致恶意提案在通过后被立即执行,攻击者得手后迅速将资金转移,社区甚至来不及做出反应。
用 440 万美元的筹码,在无人看守的投票箱前,合法地"投"出了 2000 万美元的巨款,这一案例为整个 Web3 行业敲响了警钟。这并非智能合约的代码漏洞,而是一场纯粹的治理操纵与经济博弈,深刻揭示了治理逻辑与规则缺失所引发的系统性风险。当去中心化治理过度依赖简单的多数决原则,而忽视了防御性机制的构建时,所谓的"社区自治"极易沦为资本大鳄的提款机。这是继早期闪电贷攻击之后,Web3 治理领域面临的又一次严峻考验,迫使所有 DAO 重新审视其投票权重设计与资产保护逻辑。