BTC
ETH
HTX
SOL
BNB
查看行情
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt

440万撬走2000万:BONK遭遇了一次「合法明抢」

Foresight News
特邀专栏作者
2026-07-07 03:53
本文约1756字,阅读全文需要约3分钟
钞能力治理攻击:2000万美元BONK是如何被「合法」投走的?
AI总结
展开
  • 核心观点:Solana 生态 Meme 项目 BonkDAO 因治理机制缺陷,遭恶意提案攻击,攻击者未利用技术漏洞,而是通过购买大量代币获取投票控制权,从财库合法转走价值约 2000 万美元的 BONK 代币。
  • 关键要素:
    1. 攻击者于 6 月 30 日在 Realms 治理平台提交名为“BIP #76”的恶意提案,伪装为治理改革,实际意图是转走财库中 4.4 万亿枚 BONK(约 2000 万美元)。
    2. 攻击者从交易所提取 8822.85 亿枚 BONK(价值 440 万美元),达到最低投票门槛(1% 代币),并以此在投票中获 99.878% 权重,凭借绝对优势通过提案。
    3. BonkDAO 缺乏关键防御机制,如投票有效门槛、时间锁和延迟投票机制,导致提案通过后立即执行,资产被自动划转。
    4. 攻击得手资金约 2000 万美元,成本仅 440 万美元,凸显 DAO 治理中“唯票数论”的风险和经济博弈的脆弱性。
    5. BonkDAO 官方已识别攻击者地址,正与交易所、跨链桥及 Solana Foundation 合作处理,但资产已被转移。

原文作者:KarenZ,Foresight News

如果有人告诉你,他没有黑进任何人的电脑,没有利用任何代码漏洞,甚至没有说一句谎话,就堂堂正正地从一个 DAO 的财库里拿走了价值近 2000 万美元的代币——你一定会觉得他在吹牛。

但在 Web3 的世界里,这真的发生了。

Solana 生态上头部 Meme 项目 BonkDAO 遭遇了一场治理攻击。攻击者没有动用任何高超的黑客技术,而是完美地利用了去中心化治理中「唯票数论」的生存法则,转走近 2000 万美元的 BONK 代币。

北京时间 2026 年 7 月 7 日凌晨,BONK 官方在 X 上披露,BonkDAO 遭遇了一项恶意治理提案,导致财库中价值约 2000 万美元的 BONK 被转走。官方还表示,已经识别出在提案前买入 BONK 的交易所钱包,正与交易所、跨链桥和 Solana Foundation 协同处理。

披着「治理」外衣的明抢

与这起事件对应的治理页面,是于 6 月 30 日在 Realms 上的提交的一份提案 BIP # 76 - Sowellian BonkDAO。该提案表示,要实施所谓的 「Sowellian」治理方案,换上新的成员和委员会,重建 DAO,处置 / 变现持仓,止血,并且给所有投赞成票的人发代币。

如果扯掉这些花哨的行业术语,翻译成大白话其实就是:「我申请把财库里超过 4.4 万亿 BONK 代币(价值 2000 万美元) BONK 代币,全额拨归给我这个地址。」

更讽刺的是,治理提案名称中 Sowellian (索维尔博弈论)这个词,是 Solana 治理平台 Realms(也就是 BONK 举行这次投票的底层系统)的治理预测市场系统名称。Realms 设计这个 Sowellian 机制的初衷非常美好:试图通过引入经济博弈,让参与者用真金白银为提案投票,即「奖励好决定,惩罚坏决定和恶意攻击」。

结果,攻击者在提交这笔公然「抢劫」财库的恶意提案时,偏偏主动将其命名为「Sowellian BonkDAO」。攻击者用平台最引以为傲的「博弈规则」,拿走了一个 DAO 财库的资产。

440 万本金博 2000 万:攻击者的数学题

在 6 月 30 日发起提案后,「攻击者」采用了一种极其简单粗暴、却无法被智能合约拦截的「钞能力」:

1、暗中吸筹:据余烬统计,在过去几天,「攻击者」一共从币安跟 Bybit 提了满足最低票数要求(最低 1% 代币)的 BONK (8822.85 亿枚,价值 440 万美元 ) 到链上。

2、投票:这个链上地址在 Realms 治理系统上投出赞成票。但由于当时 BonkDAO 的日常治理参与度极低,最终仅有 7 个地址参与投票。该地址用 8822.85 亿枚 BONK 投出了 99.878% 的权重,凭借绝对优势,取得了压倒性的「绝对控股权」。

6 月 6 日,投票结果公布:提案通过。智能合约按照既定规则,自动将财库中 4.4 万亿枚(约合 2000 万美元)的 BONK 划转到了攻击者的口袋里。

DAO 的防御机制去哪了?

看到这里你可能会问:难道就没有任何限制吗?任由他投完票就直接把钱拿走?

这正是 BonkDAO 犯下的致命错误。在相对成熟的 DAO 治理中,通常还会有几道防线:

  • 投票有效门槛:涉及财库核心资产划转的提案,必须大幅拉高投票人数和通过率要求,防止少数人突袭。
  • 时间锁(Timelock):提案通过后,必须锁定 3 到 7 天才能执行。在这期间,如果社区发现这是个恶意提案,多签管理员(Multisig)或核心团队有时间通过「一票否决权(Veto)」来拦截,或者紧急修改合约。
  • 延迟投票机制:防止有人在投票截止前的一瞬间,突然用闪电贷或巨额资金操纵结果。

很遗憾,BonkDAO 缺乏足够的防御缓冲和多签干预机制,导致恶意提案在通过后被立即执行。攻击者得手后,迅速将资金转移。

小结

用 440 万美元的筹码,在无人看守的投票箱前,合法地「投」出了 2000 万美元的巨款。

Bonk 治理攻击给整个 Web3 行业敲响了警钟。这是不是智能合约的代码漏洞,而是一场纯粹的「治理操纵与经济博弈」,也是治理逻辑与规则的缺失。

DAO
欢迎加入Odaily官方社群