Ripple 前首席技术官 David Schwartz 表示,尽管攻击者利用项目的链上治理系统批准了转账,但 BONK DAO 国库被掏空 2000 万美元的事件仍可被视为公司欺诈。
此次攻击的核心是一项恶意治理提案,该提案将约 4.42 万亿枚 BONK 代币从 DAO 国库转移到攻击者控制的钱包中。这次转账是在一次低投票率的投票之后进行的,攻击者利用暂时的投票多数通过了该提案。

BONK 是一种基于 Solana 的模因币,事件发生后下跌约 7%。BONK DAO 已将此事件描述为恶意治理提案,并表示正与交易所、跨链桥以及 Solana 基金会合作。
攻击始于一个匿名钱包提交了 BIP #76 号提案,其中包括将国库中的 BONK 代币转移至攻击者钱包的指令。该提案需要获得相当于 BONK 供应量 1% 的赞成票才能通过。
根据报道中引用的链上分析,攻击者花费约 440 万美元通过包括 Binance 和 Bybit 在内的交易所购买 BONK。一些报道还称,攻击者使用 DeFi 借贷平台来增加投票权。
仅有七个钱包对该提案进行了投票,而超过 18,000 名成员未参与。投票率约为 2.9%,使得攻击者的钱包以几乎全票赞成的结果通过了该提案。
投票以微弱优势达到法定人数,赞成票为 8823.8 亿枚 BONK,略高于 8799.5 亿的门槛。提案通过后,国库转账自动执行。
David Schwartz 表示,不应将此事件视为对链上规则的合法使用而予以驳回。他认为,DAO 参与者在管理共享资产时仍可能负有责任。
Schwartz 将此次资金流失定性为公司欺诈,因为 DAO 参与者在控制共同国库资金时可以充当受托人。他的观点是,如果共享资产被故意滥用,有效的代码执行并不能免除法律责任。
他还表示,当资产被挪用时,州法院通常不接受“代码即法律”的辩护。这一立场挑战了攻击者 merely 遵循智能合约规则的说法。
由于交易的每一步都是通过项目的治理过程进行的,因此该问题在法律上仍然复杂。然而,BONK DAO 和分析公司已将此事件视为攻击,且有报道称执法部门已介入。
提案通过后,约价值 2000 万美元的 BONK 从 DAO 国库转移到攻击者控制的钱包。据报道,随后约有 18.8 万美元被发送至交易所,可能是为了套现。
根据 Chainalysis 的数据,剩余资金被转移到一个多重签名钱包。多重签名钱包在资金转移前需要多个批准。
攻击者还出售了用于获得投票控制权的 BONK。据报道,在国库转账后,约价值 530 万美元的所购 BONK 被出售。
这一系列操作使攻击者在控制了被掏空的国库代币的同时,移除了大部分用于通过提案的投票权益。此案增加了人们对依赖代币投票而缺乏更强安全检查的 DAO 的审查。
BONK DAO 事件重新引发了关于代币加权治理的辩论。当临时代币购买者能够廉价地获得足够的投票权以通过有害提案时,国库可能会变得脆弱。
此次攻击还暴露了与低投票率相关的风险。如果法定人数低且保障措施薄弱,少数投票钱包就可以控制重大决策。
常见的保护措施包括时间锁、更高的法定人数门槛、紧急否决权、提案审查期以及对国库转账的限制。BONK DAO 的转账执行时没有足够的延迟来防止资金流失。
文章《Ripple 前首席技术官称 BONK DAO 国库被掏空可能构成公司欺诈》首次发表于 CoinCentral。


