Ο πρώην CTO της Ripple, David Schwartz, δήλωσε ότι η εκροή 20 εκατομμυρίων δολαρίων από το ταμείο του BONK DAO θα μπορούσε να θεωρηθεί εταιρική απάτη, παρόλο που ο επιτιθέμενος χρησιμοποίησε το σύστημα διακυβέρνησης onchain του έργου για να εγκρίνει τη μεταφορά.
Η επίθεση επικεντρώθηκε σε μια κακόβουλη πρόταση διακυβέρνησης που μετέφερε περίπου 4,42 τρισεκατομμύρια tokens BONK από το ταμείο του DAO σε ένα πορτοφόλι ελεγχόμενο από τον επιτιθέμενο. Η μεταφορά ακολούθησε μια ψηφοφορία με χαμηλή συμμετοχή, κατά την οποία ο επιτιθέμενος χρησιμοποίησε μια προσωρινή πλειοψηφία ψήφων για να περάσει την πρόταση.

Το BONK, ένα memecoin βασισμένο στο Solana, έπεσε περίπου 7% μετά το περιστατικό. Το BONK DAO χαρακτήρισε το γεγονός ως κακόβουλη πρόταση διακυβέρνησης και δήλωσε ότι συνεργάζεται με ανταλλακτήρια, γέφυρες και το Ίδρυμα Solana.
Η επίθεση ξεκίνησε όταν ένα ανώνυμο πορτοφόλι υπέβαλε την πρόταση BIP #76, η οποία περιλάμβανε οδηγία για τη μεταφορά των tokens BONK του ταμείου στο πορτοφόλι του επιτιθέμενου. Η πρόταση χρειαζόταν θετικές ψήφους ίσες με το 1% της προσφοράς του BONK για να περάσει.
Ο επιτιθέμενος ξόδεψε περίπου 4,4 εκατομμύρια δολάρια αγοράζοντας BONK μέσω ανταλλακτηρίων, συμπεριλαμβανομένων των Binance και Bybit, σύμφωνα με ανάλυση onchain που αναφέρεται σε reports. Ορισμένα reports ανέφεραν επίσης ότι ο επιτιθέμενος χρησιμοποίησε πλατφόρμες δανεισμού DeFi για να αυξήσει τη δύναμη ψήφου του.
Μόνο επτά πορτοφόλια ψήφισαν στην πρόταση, ενώ περισσότερα από 18.000 μέλη δεν συμμετείχαν. Η συμμετοχή ήταν περίπου 2,9%, επιτρέποντας στο πορτοφόλι του επιτιθέμενου να περάσει την πρόταση με σχεδόν όλες τις ψήφους να είναι θετικές.
Η ψηφοφορία ξεπέρασε οριακά την απαρτία, με 882,38 δισεκατομμύρια BONK υπέρ έναντι ορίου 879,95 δισεκατομμυρίων. Αφού πέρασε η πρόταση, η μεταφορά από το ταμείο εκτελέστηκε αυτόματα.
Ο David Schwartz δήλωσε ότι το περιστατικό δεν πρέπει να απορριφθεί ως νόμιμη χρήση των κανόνων onchain. Υποστήριξε ότι οι συμμετέχοντες στο DAO μπορεί να έχουν ακόμη υποχρεώσεις κατά τη διαχείριση κοινών περιουσιακών στοιχείων.
Ο Schwartz χαρακτήρισε την εκροή ως εταιρική απάτη επειδή οι συμμετέχοντες στο DAO μπορούν να ενεργούν ως fiduciaries (διαχειριστές με εμπιστοσύνη) όταν ελέγχουν κοινά κεφάλαια ταμείου. Η άποψή του ήταν ότι μια έγκυρη εκτέλεση κώδικα δεν αφαιρεί τη νομική ευθύνη εάν τα κοινά περιουσιακά στοιχεία χρησιμοποιούνται καταχρηστικά εν γνώσει τους.
Επίσης, δήλωσε ότι τα πολιτειακά δικαστήρια γενικά δεν αποδέχονται την άμυνα «ο κώδικας είναι νόμος» όταν υπάρχει υπεξαίρεση περιουσιακών στοιχείων. Αυτή η θέση αμφισβητεί το επιχείρημα ότι ο επιτιθέμενος απλώς ακολούθησε τους κανόνες του smart contract.
Το ζήτημα παραμένει νομικά σύνθετο επειδή κάθε βήμα της συναλλαγής πραγματοποιήθηκε μέσω της διαδικασίας διακυβέρνησης του έργου. Ωστόσο, το BONK DAO και εταιρείες ανάλυσης έχουν αντιμετωπίσει το γεγονός ως επίθεση, και έχει αναφερθεί εμπλοκή των αρχών επιβολής του νόμου.
Αφού πέρασε η πρόταση, περίπου 20 εκατομμύρια δολάρια σε BONK μεταφέρθηκαν από το ταμείο του DAO στο πορτοφόλι που ελεγχόταν από τον επιτιθέμενο. Reports ανέφεραν ότι περίπου 188.000 δολάρια στάλθηκαν αργότερα σε ένα ανταλλακτήριο, πιθανώς για δραστηριότητα εξαργύρωσης.
Το υπόλοιπο ποσό μεταφέρθηκε σε ένα πολυυπογραφικό πορτοφόλι (multisig wallet), σύμφωνα με την Chainalysis. Ένα πολυυπογραφικό πορτοφόλι απαιτεί περισσότερες από μία εγκρίσεις πριν μετακινηθούν τα κεφάλαια.
Ο επιτιθέμενος πούλησε επίσης τα BONK που χρησιμοποιήθηκαν για την απόκτηση ελέγχου ψήφου. Reports ανέφεραν ότι περίπου 5,3 εκατομμύρια δολάρια αξίας των αγορασθέντων BONK πωλήθηκαν μετά τη μεταφορά από το ταμείο.
Αυτή η ακολουθία άφησε τον επιτιθέμενο με τον έλεγχο των tokens του ταμείου που εξαντλήθηκαν, ενώ απομάκρυνε μεγάλο μέρος του μεριδίου ψήφου που χρησιμοποιήθηκε για την έγκριση της πρότασης. Η περίπτωση έχει αυξήσει τον έλεγχο των DAOs που βασίζονται στην ψηφοφορία με tokens χωρίς ισχυρότερους ελέγχους ασφαλείας.
Το περιστατικό του BONK DAO έχει ανοίξει εκ νέου τη συζήτηση σχετικά με τη διακυβέρνηση σταθμισμένη με tokens. Ένα ταμείο μπορεί να γίνει ευάλωτο όταν ένας προσωρινός αγοραστής tokens μπορεί να αποκτήσει φθηνά αρκετή δύναμη ψήφου για να περάσει μια ζημιογόνα πρόταση.
Η επίθεση αποκάλυψε επίσης κινδύνους που συνδέονται με τη χαμηλή συμμετοχή. Μια μικρή ομάδα πορτοφολιών ψηφοφορίας μπορεί να ελέγχει σημαντικές αποφάσεις εάν η απαρτία είναι χαμηλή και οι διασφαλίσεις είναι αδύναμες.
Συχνές προστασίες περιλαμβάνουν χρονικές κλειδαριές (time-locks), υψηλότερα όρια απαρτίας, δικαιώματα έκτακτου βέτο, περιόδους αναθεώρησης προτάσεων και όρια στις μεταφορές από το ταμείο. Η μεταφορά του BONK DAO εκτελέστηκε χωρίς επαρκή καθυστέρηση για να αποτραπεί η εκροή.
Η ανάρτηση «Ο πρώην CTO της Ripple λέει ότι η εκροή από το ταμείο του BONK DAO θα μπορούσε να είναι εταιρική απάτη» δημοσιεύτηκε αρχικά στο CoinCentral.


