BonkDAO治理攻击致2000万美金代币流失

BonkDAO遭治理提案劫持,财库资金被大规模转移

2026年7月6日,BonkDAO确认其财库在一项恶意治理提案执行后,约价值2000万美元的BONK代币遭到抽离。此次事件并非由智能合约漏洞引发,而是利用了DAO自身投票机制的可被操纵性,成为今年Solana生态中最严重的治理型资产盗取案例之一。

攻击路径:隐蔽积累投票权并操控提案流程

调查发现,攻击者通过交易所钱包在数日内逐步增持BONK代币,累计建立约400万美元的持仓,从而获取足够投票权重。该提案在未引起警觉的情况下顺利通过,最终触发财库资金向攻击者控制地址的直接转移,整个过程完全符合链上规则。

价格暴跌与市场恐慌同步爆发

消息公布后,市场迅速反应,BONK价格在数小时内下挫逾9%,从约0.48美元滑落至最低0.415美元,1日图显示当日晚间出现显著断崖式下跌。尽管随后出现部分反弹,但整体信心受到严重冲击。

与3月前端劫持事件的本质差异

此次攻击与2026年3月发生的Bonk.fun事件存在根本区别:前者未涉及用户钱包被盗或钓鱼诱导,而是直接针对DAO集体资产发起治理层面的狙击;后者则依赖网站域名劫持与虚假服务条款诱导,属于前端欺骗行为。前者一旦链上执行即不可逆,修复成本极高,对项目长期发展构成更深远威胁。

治理攻击为何正成主流威胁

随着技术门槛降低,治理攻击正呈现上升趋势。相较于挖掘代码漏洞,通过积累代币实现投票操控更具成本效益。大量Meme币类项目持有巨额财库,却普遍采用简单加权投票机制,且缺乏有效制衡。一旦提案通过,交易即为链上终局,几乎无法撤销。

追偿进展有限,监管协作面临挑战

BonkDAO已启动多方协作机制,联合交易所、跨链桥及Solana基金会追踪资金流向,并确认用于积累投票权的交易所钱包身份。目前Upbit已暂停BONK的充值提现功能以防范进一步损失。然而,由于交易基于合法治理流程,追回可能性仍极低,凸显治理安全的结构性短板。

重塑治理防御体系迫在眉睫

该事件警示所有去中心化组织需强化治理防护。潜在改进方向包括引入时间锁机制以延长决策窗口、提高法定人数门槛、采用基于信念的投票模型,以及对大额资金转移设置多签审批。随着更多资产交由社区共治,保障治理流程本身的安全性,已与保护智能合约同等关键。