「鏈上治理」曾被奉為社群自治的完美未來,如今卻成了有心人士的「合法提款機」。
知名 Solana 生態迷因幣 $BONK 近日就遭遇治理攻擊,駭客花費約 440 萬美元大量買進 $BONK 代幣,取得足以影響投票結果的權重後,成功通過惡意治理提案,並在一周內將 BONK DAO 財庫內多達 2,000 萬美元的資產洗劫一空。
最諷刺的是,這場完美風暴中的每一個步驟,在區塊鏈的規則下,全都是「合法合規」的正常交易,從買入代幣、參與投票,到執行資金轉移,每一步交易皆符合鏈上規則,但最終卻形成一場針對治理系統漏洞的掠奪。
BONK DAO 是 $BONK 代幣的去中心化治理組織,運作機制為代幣持有者對提案進行投票。任何人只要持有足夠數量的代幣就能發起提案;一旦投票通過,提安就會自動在鏈上執行,而這個設計,恰恰成為攻擊者的武器。
事件爆發後,$BONK 幣價隨之重挫,過去 24 小時內跌幅已達 9.4% 。
攻擊者砸 440 萬美元買 $BONK,取得提案通過門檻
根據區塊鏈分析公司 Chainalysis 追蹤,事件始於 6 月 30 日,一個匿名錢包提交治理提案,要求將 DAO 財庫內的資產轉移至其控制的地址。要讓提案過關,必須取得 $BONK 總供應量 1% 的支持票,也就是治理投票中的最低門檻,才能正式生效。
看準了社群成員平時對投票意興闌珊,攻擊者在 7 月 4 日至 5 日間展開行動。鏈上數據機構 Lookonchain 發現,另一個錢包斥資約 440 萬美元,在 Bybit 與幣安(Binance)等交易所瘋狂掃貨,甚至透過 DeFi 平台進一步放大資金規模,目標就是湊齊 1% 的決策權。
僅 7 個錢包投票,提案以些微差距通過
這份名為「BIP #76 – Sowellian BonkDAO」的提案,最終僅有 7 個錢包參與投票,相較之下,超過 18,000 名 DAO 成員沒有參與投票,整體投票率僅 2.9% 。
然而,由於攻擊者提前累積大量代幣,提案最終仍以 8,823.8 億枚 $BONK 的同意票,驚險跨過 8,799.5 億枚代幣的過關門檻。這 99.9% 的壓倒性「贊成」,說穿了只是攻擊者「自己投給自己」的獨角戲。
提案的說明文字寫得冠冕堂皇,宣稱要「從灰燼中重建、將資產變現、為虧損止血」,甚至還拋出「所有投贊成票的人都能獲得代幣」的誘餌。然而,這一切華麗的辭藻,只為了掩護隱藏在底下的唯一真實指令:將 4.43 兆枚 $BONK 全數轉入攻擊者的地址。
提案通過後 2,000 萬美元資金自動轉出
到了 7 月 6 日,萬事俱備。攻擊者將手中的 8,823.8 億枚 $BONK 全數押上贊成票,提案一過,智能合約隨即自動執行,價值 2,000 萬美元的 $BONK 瞬間流出財庫。
Chainalysis 表示,約莫 9 小時後,其中約 18.8 萬美元的代幣被轉入交易所,可能用於出售套現;剩餘約 1,900 萬美元則被轉移至多重簽名錢包。
在完成資產轉移後約 1 小時,攻擊者開始出售為發動攻擊而買進、價值 530 萬美元的 $BONK 。值得注意的是,攻擊者保留了從 DAO 財庫取得的 $BONK,卻出售了原本用來控制治理投票的籌碼。
BONK DAO 確認遭惡意治理攻擊,正追查資金流向
事發後,BONK DAO 出面證實了這場惡意攻擊,並表示已鎖定攻擊者事前在交易所買幣的錢包,目前正聯合各大交易所、跨鏈橋以及 Solana 基金會處理善後,執法單位也已介入調查。
這起事故也重新點燃幣圈長久以來的爭論:如果所有操作都符合智能合約規則,這究竟是惡意盜竊,還是在既定規則下的合法套利?
部分鏈上觀察人士認為,攻擊者並未破解系統,而只是利用 DAO 治理模型中「投票權可購買」的弱點;但 BONK DAO 與多家區塊鏈分析機構則認定,這是一場治理攻擊,而相關執法機構介入調查,也反映事件已被視為資產掠奪行為。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。










