BonkDAO зазнала атаки на управління, яка вивела приблизно 20 мільйонів доларів у токенах BONK з її казначейства після того, як зловмисник витратив близько 4 мільйона доларів, щоб отримати право голосу. Атаку було оприлюднено 6 липня BonkDAO — децентралізованою організацією управління, пов'язаною з мемкоїном BONK на Solana. Згідно з офіційною заявою проєкту, зловмисник маніпулював процесом управління DAO, використовуючи голосування, зважене за кількістю токенів, щоб схвалити пропозицію, яка перенаправила активи казначейства, а не експлуатував уразливість смарт-контрактів. Інцидент підкреслює зростаючі проблеми безпеки в децентралізованих автономних організаціях, де механізми управління можуть стати векторами атак, коли вартість отримання контролю над голосуванням нижча за вартість активів, що контролюються.
Повідомляється, що зловмисник накопичив достатньо BONK, щоб вплинути на голосування, перш ніж виконати пропозицію через систему управління BonkDAO, яка використовує інфраструктуру управління Realms від Solana. Після схвалення пропозиція дозволила переказати приблизно 20 мільйонів доларів у BONK з громадського казначейства. Інцидент не був спричинений уразливістю у смарт-контрактах протоколу. Натомість зловмисник використав голосування з вагою токенів, щоб схвалити шкідливу пропозицію, яка перенаправила активи казначейства. Пізніше блокчейн-слідчі відстежили частини викрадених коштів, які рухалися до криптовалютних бірж.
Повідомлена економіка була разючою. Зловмисник, який витратив приблизно 4 мільйона доларів, щоб отримати достатній вплив на голосування, зміг авторизувати переказ активів вартістю приблизно в п'ять разів більше. На відміну від звичайних експлойтів смарт-контрактів, атаки на управління не обов'язково вимагають злому коду протоколу. Натомість зловмисники експлуатують правила, що регулюють створення пропозицій, пороги голосування та виконання операцій казначейства.
Південнокорейська біржа Upbit призупинила депозити та зняття BONK після інциденту, одночасно відстежуючи потенційні переміщення скомпрометованих активів. Рух вкрадених токенів до бірж посилив побоювання щодо потенційного тиску на ліквідність, якщо активи будуть продані на ринку.
Атака негайно вплинула на настрої ринку: BONK впав більше ніж на 9% після оприлюднення втрати казначейства. Для BonkDAO виклик виходить за межі повернення вкрадених коштів. Інцидент безпосередньо впливає на довіру до моделі управління DAO та її здатність захищати активи, що контролюються спільнотою.
Інцидент порушує питання щодо практик безпеки DAO. Таймлоки, мультипідписні схвалення, періоди перегляду пропозицій, механізми екстреного вето та вищі вимоги до кворуму зазвичай використовуються для зменшення ризиків управління. Там, де ці захисти слабкі або відсутні, токен-зважене управління може стати вразливим до ворожих поглинань добре капіталізованими учасниками.
Що сталося з казначейством BonkDAO 6 липня?
BonkDAO оприлюднила атаку на управління, яка вивела приблизно 20 мільйонів доларів у токенах BONK з її казначейства. Зловмисник витратив близько 4 мільйона доларів, щоб отримати достатньо права голосу для схвалення шкідливої пропозиції, яка перенаправила активи казначейства через систему управління DAO.
Як зловмисник вивів кошти BonkDAO?
Зловмисник накопичив достатньо токенів BONK, щоб вплинути на голосування, а потім виконав пропозицію через систему управління BonkDAO, використовуючи інфраструктуру управління Realms від Solana. Схвалена пропозиція дозволила переказати приблизно 20 мільйонів доларів у BONK з громадського казначейства без експлуатації жодної вразливості смарт-контракту.
Які дії вжив Upbit після атаки на BonkDAO?
Південнокорейська біржа Upbit призупинила депозити та зняття BONK після інциденту, одночасно відстежуючи потенційні переміщення скомпрометованих активів, які блокчейн-слідчі відстежили в напрямку криптовалютних бірж.
Гаманці уряду Німеччини відправляють Bitcoin на Kraken і Coinbase
Gate Daily (7 липня): Трамп натякає, що біткоїн буде включено до «акаунту Трампа»; BonkDAO зазнає атаки зловмисної пропозиції управління.
Summer Finance призупиняє сховища після атаки флеш-позики на суму 65,4 мільйона доларів, що спричинила втрату $6M