2000万美金国库被1%代币劫掠:治理漏洞暴露

440万购得控制权:一场合规的数字劫案

2026年7月6日,一名未公开身份的实体通过在币安、Bybit及多个DeFi借贷平台累积超过1%的总供应量,成功发起对BonkDAO国库的治理提案。该操作未触发任何智能合约漏洞或私钥泄露,所有交易均符合链上规则,最终实现4.43万亿枚BONK(约2000万美元)的资产转移。

极低参与度下的压倒性通过

尽管拥有超过18,000名成员的组织,实际参与投票的钱包仅有7个,投票率仅为2.9%。提案以99.9%的支持率获得通过,投票结束后资金立即自动划转,未设置任何执行延迟机制,使得整个过程在技术上完全合法但结果极具争议。

攻击路径:从资本积累到制度套利

攻击者采用中心化交易所购买与借贷市场借入相结合的方式,规避价格波动风险,实现低成本获取治理权。一旦达到法定门槛,便提交转账提案,利用极低的社区活跃度完成权力更迭。整个过程更像是一场精心策划的资本收购,而非传统意义上的黑客入侵。

核心安全缺失:时间锁与多签机制的真空

当前设计中缺乏强制执行等待期,导致提案通过后资金即时释放。同时,未设立由可信第三方组成的紧急干预委员会,无法在异常情况下冻结恶意操作。这两项关键防护机制的缺失,使国库安全完全依赖于投票率——而这一数值在本次事件中仅为2.9%。

经济失衡:成本远低于收益的结构性漏洞

控制一个价值2000万美元的国库仅需440万美元投入,意味着攻击回报率超4倍。这种明显的经济激励已被公开记录在链上,任何参与者均可计算并复制该策略,暴露出治理模型内在的脆弱性。

历史重演:治理攻击并非首例

此前已有多个案例证明,即使无代码缺陷,仅靠治理流程漏洞即可完成大规模资产转移。包括Beanstalk Farms、Build Finance、Tornado Cash、Compound以及Balancer TOP pools等项目均曾遭遇类似攻击,其中多数事件中系统严格遵循代码逻辑执行,损失源于治理结构缺陷。

法律与伦理的边界之争

支持者认为,只要所有操作符合链上规则,“代码即法律”便成立,此类行为属于合法的经济博弈。反对者则强调,当少数人通过资本操控达成对集体资产的独占,无论是否违法,其本质已构成对社区权益的剥夺。执法机构已介入调查,案件或将为未来DAO法律责任认定提供先例。

市场反应:价格跌破多重均线支撑

消息公布后24小时内,BONK价格下跌7%至10%,并跌破所有主要移动平均线:50周期均线(0.00000450美元)、100周期均线(0.00000440美元)和200周期均线(0.00000445美元)。相对强弱指数(RSI)降至34.92,接近超卖区域,短期反弹可能性浮现,但若跌破0.00000400美元支撑位,将进一步下探至0.00000380美元。

未来走向:协议重构与司法试探

被盗代币仍掌握在攻击者手中,构成持续的抛售威胁。各交易所恢复充提服务后可能再次打开退出通道。预计短期内多个基于Realms的Solana DAO将推动紧急治理参数调整。与此同时,此案或将首次挑战“链上行为不可追责”的传统认知,成为判定去中心化组织法律责任的关键判例。