登錄
註冊
據 Woofun AI 消息,Solana 生態頭部 Meme 項目 BonkDAO 遭遇了一場無需黑客技術的治理攻擊,導致價值約 2000 萬美元的資產被轉移。這場由 KarenZ 與 Foresight News 披露的事件,並非源於代碼漏洞,而是攻擊者精準利用了去中心化自治組織(DAO)中“唯票數論”的規則盲區,完成了一次教科書式的"合法"資產掠奪。
北京時間 2026 年 7 月 7 日凌晨,BONK 官方在 X 平臺確認,一項惡意治理提案已導致財庫中近 2000 萬美元的 BONK 代幣被劃轉。該事件的核心在於一份於 6 月 30 日提交至 Realms 平臺的提案,編號爲 BIP 76,標題爲"Sowellian BonkDAO"。提案內容看似宏大,聲稱要實施"Sowellian"治理方案,包括更換成員、重建委員會、處置持倉以止損,並承諾向贊成者發放代幣。
然而,剝去這些行業術語的外衣,其真實意圖直指財庫核心:將超過 4.4 萬億枚 BONK 代幣(即那 2000 萬美元資產)全額劃歸至攻擊者指定的單一地址。極具諷刺意味的是,提案名稱中的"Sowellian"一詞,恰恰源自 Solana 治理平臺 Realms 自身的治理預測市場系統名稱。Realms 設計該機制的初衷,本是通過引入經濟博弈來獎勵優質決策、懲罰惡意行爲,但攻擊者卻反其道而行之,利用平臺引以爲傲的博弈規則,將這一機制變成了掠奪資產的完美工具。BONK 官方隨後表示,已識別出在提案前買入代幣的交易所錢包,正與幣安、Bybit 以及 Solana Foundation 協同處理後續事宜。
這場攻擊的成功,建立在攻擊者精心計算的數學題之上,其核心在於極低的治理參與度與鉅額的籌碼投入。Woofun AI 整理數據顯示,在 6 月 30 日提案發起後,攻擊者採取了極爲直接的"鈔能力"策略。在過去幾天內,攻擊者從幣安和 Bybit 兩家交易所提取了總計 8822.85 億枚 BONK 代幣 至鏈上,這批籌碼價值 440 萬美元,剛好滿足最低 1% 的投票門檻。當投票開啓時,由於 BonkDAO 日常治理參與度極低,整個投票週期內僅有 7 個地址參與。攻擊者利用其持有的 8822.85 億枚代幣,在 Realms 系統中投出了贊成票,瞬間佔據了 99.878% 的投票權重,從而取得了壓倒性的絕對控股權。7 月 7 日,投票結果正式公佈,提案順利通過。智能合約隨即按照既定規則,自動將財庫中 4.4 萬億枚(約合 2000 萬美元)的 BONK 劃轉至攻擊者口袋,整個過程嚴絲合縫,未觸發任何安全警報。
爲何如此明顯的惡意提案能一路綠燈?這暴露了 BonkDAO 在防禦機制上的致命缺失。在成熟的 DAO 治理架構中,通常設有三道關鍵防線來抵禦此類突襲。首先是投票有效門檻,涉及核心資產劃轉的提案,理應大幅提高最低參與人數和通過率要求,以防止少數人突襲。其次是時間鎖(Timelock)機制,即提案通過後必須鎖定 3 到 7 天才能執行,這段緩衝期允許社區發現異常,並由多籤管理員(Multisig) 或核心團隊行使一票否決權(Veto) 進行攔截,甚至緊急修改合約。最後是延遲投票機制,旨在防止攻擊者在投票截止前一刻,利用閃電貸或鉅額資金瞬間操縱結果。遺憾的是,BonkDAO 缺乏上述足夠的防禦緩衝和多籤干預機制,導致惡意提案在通過後被立即執行,攻擊者得手後迅速將資金轉移,社區甚至來不及做出反應。
用 440 萬美元的籌碼,在無人看守的投票箱前,合法地"投"出了 2000 萬美元的鉅款,這一案例爲整個 Web3 行業敲響了警鐘。這並非智能合約的代碼漏洞,而是一場純粹的治理操縱與經濟博弈,深刻揭示了治理邏輯與規則缺失所引發的系統性風險。當去中心化治理過度依賴簡單的多數決原則,而忽視了防禦性機制的構建時,所謂的"社區自治"極易淪爲資本大鱷的提款機。這是繼早期閃電貸攻擊之後,Web3 治理領域面臨的又一次嚴峻考驗,迫使所有 DAO 重新審視其投票權重設計與資產保護邏輯。