440万で2000万を奪取:BONK、「合法的な強奪」の被害に
- 核心となる見解:SolanaエコシステムのMemeプロジェクトBonkDAOは、ガバナンスメカニズムの欠陥により悪意のある提案攻撃を受けた。攻撃者は技術的脆弱性を利用せず、大量のトークンを購入して投票支配権を獲得し、財務省から約2000万ドル相当のBONKトークンを合法的に持ち出した。
- 重要な要素:
- 攻撃者は6月30日、Realmsガバナンスプラットフォームに「BIP #76」という悪意のある提案を提出。ガバナンス改革を装い、実際には財務省から4.4兆BONK(約2000万ドル)を引き出すことを意図していた。
- 攻撃者は取引所から8822.85億BONK(価値440万ドル)を引き出し、最低投票閾値(トークンの1%)に達し、これにより投票で99.878%の重みを獲得。絶対的優位をもって提案を可決させた。
- BonkDAOには、投票有効閾値、タイムロック、投票遅延メカニズムなどの重要な防御メカニズムが欠如しており、提案可決後すぐに実行され、資産が自動的に移転された。
- 攻撃により得られた資金は約2000万ドルで、コストはわずか440万ドル。DAOガバナンスにおける「票数至上主義」のリスクと経済的駆け引きの脆弱性が浮き彫りになった。
- BonkDAO公式は攻撃者のアドレスを特定し、取引所、クロスチェーンブリッジ、Solana Foundationと協力して対応中だが、資産はすでに移転されている。
原文作者:KarenZ、Foresight News
もし誰かが「誰のコンピューターにもハッキングしておらず、コードの脆弱性も利用しておらず、嘘すらつかずに、まっとうな方法でDAOの財庫から約2000万ドル相当のトークンを引き出した」と言ったら、あなたは「それは大げさだ」と思うでしょう。
しかし、Web3の世界では、それが実際に起こってしまいました。
SolanaエコシステムのトップMemeプロジェクト、BonkDAOがガバナンス攻撃に遭いました。攻撃者は高度なハッキング技術を一切使わず、分散型ガバナンスにおける「票数第一主義」の生存法則を完璧に悪用し、約2000万ドル相当のBONKトークンを流出させました。
日本時間2026年7月7日未明、BONK公式がX(旧Twitter)上で、BonkDAOが悪意のあるガバナンス提案を受け、財庫から約2000万ドル相当のBONKが流出したことを報告しました。また、提案前にBONKを購入した取引所のウォレットを特定し、取引所、クロスチェーンブリッジ、Solana Foundationと協力して対応中であると発表しました。
「ガバナンス」の皮をかぶった強奪
この事件に関連するガバナンスページは、6月30日にRealmsに提出された提案「BIP #76 - Sowellian BonkDAO」です。この提案は、「Sowellian」ガバナンス方式を導入し、新しいメンバーと委員会を任命し、DAOを再構築し、保有資産を処分・現金化し、赤字を止め、賛成票を投じた全員にトークンを配布するという内容でした。
これらの派手な業界用語をはがして平易な言葉に直すと、要するに「財庫にある4.4兆を超えるBONKトークン(2000万ドル相当)を、すべて私のアドレスに全額送金してください」というものです。

さらに皮肉なことに、このガバナンス提案の名称に含まれる「Sowellian(ソウェル)」という言葉は、SolanaのガバナンスプラットフォームRealms(BONKが今回の投票に使用した基盤システム)のガバナンス予測市場システムの名称です。RealmsがこのSowellianメカニズムを設計した当初の意図は非常に美しいものでした。それは、経済的なゲーム理論を導入することで、参加者が実際の資金を賭けて提案に投票するように促し、「良い決定には報奨を与え、悪い決定や悪意ある攻撃には罰を与える」という仕組みです。
結果として、攻撃者は財庫を公然と「強奪」するこの悪意ある提案を提出する際に、あえて「Sowellian BonkDAO」と名付けました。攻撃者は、プラットフォームが最も誇る「ゲームのルール」を使って、DAOの財産を奪い去ったのです。
440万ドルの元手で2000万ドルを狙う:攻撃者の計算
6月30日に提案を出した後、攻撃者は非常にシンプルかつ乱暴でありながら、スマートコントラクトでは防ぎようのない「資金力」を使いました。
1. 密かにトークンを買い集める:余烬(Yu Jin)の集計によると、攻撃者は過去数日間にわたって、最低要件である投票権(最低1%のトークン)を満たすために、BinanceとBybitから8822.85億BONK(440万ドル相当)をチェーン上に引き出しました。
2. 投票:このチェーン上のアドレスはRealmsガバナンスシステムで賛成票を投じました。しかし、当時のBonkDAOの日常的なガバナンス参加率は極めて低く、最終的に投票に参加したのはわずか7アドレスでした。このアドレスは8822.85億BONKを使って99.878%の投票重みを獲得し、圧倒的な「絶対的支配権」を握りました。

6月6日、投票結果が発表されました:提案は可決。スマートコントラクトは定められたルールに従い、自動的に財庫内の4.4兆BONK(約2000万ドル相当)を攻撃者のウォレットに送金しました。

DAOの防御メカニズムはどこへ?
ここで疑問に思うかもしれません:「何の制限もなかったのか?投票が終わったらすぐに金を持っていかれてしまうのか?」と。
これこそがBonkDAOが犯した致命的な過ちです。比較的成熟したDAOガバナンスでは、通常、さらにいくつかの防衛線が存在します。
- 投票有効閾値:財庫のコア資産の移動を伴う提案は、投票人数と可決率の要件を大幅に引き上げ、少数派による急襲を防ぐ必要があります。
- タイムロック:提案が可決された後、実行までに3~7日間のロック期間を設けます。この間にコミュニティが悪意のある提案であると認識した場合、マルチシグ(Multisig)管理者やコアチームが「拒否権(Veto)」を使って阻止したり、緊急にコントラクトを修正する時間を確保できます。
- 遅延投票メカニズム:投票締め切りの直前に、誰かがフラッシュローンや巨額の資金を使って結果を操作することを防ぎます。
残念ながら、BonkDAOには十分な防御バッファーとマルチシグ介入メカニズムが欠如していたため、悪意ある提案は可決後すぐに実行されてしまいました。攻撃者は成功後、すぐに資金を移動させました。
まとめ
440万ドルのチップで、誰も見ていない投票箱の前で、合法的に2000万ドルの大金を「投票」によってせしめた。
Bonkのガバナンス攻撃は、Web3業界全体に警鐘を鳴らしました。これはスマートコントラクトのコードの脆弱性ではなく、純粋な「ガバナンスの操作と経済ゲーム」であり、ガバナンスロジックとルールの欠如によるものです。


