Serangan tata kelola DAO Bonk: Orang misterius menghabiskan 4,4 juta dolar AS untuk 'secara legal' memindahkan 20 juta dolar AS

Pencuri dengan terang-terangan, seseorang menghabiskan sekitar 4,4 juta dolar AS untuk membeli lebih dari 1% BONK guna memenuhi ambang voting, lalu mengajukan proposal dengan judul "Reformasi Tata Kelola", yang di dalamnya terselip kalimat "transfer 4,43 triliun BONK ke dompet saya". Proposal ini terpajang di forum BonkDAO selama beberapa hari tanpa ada yang menyadari, dari 18.000 alamat yang memiliki hak suara hanya 7 yang bertindak, penyerang sendiri memberikan suara setuju, kontrak pintar DAO menjalankan sesuai aturan, BONK senilai sekitar 20 juta dolar AS pun "secara sah" dipindahkan dari treasury.
(Prasyarat: Eskalasi pertikaian internal tata kelola ENS: Salah satu pendiri mengusulkan mendelegasikan 5 juta ENS untuk mendilusi hak suara satu pemilik besar)
(Latar belakang: Solana meluncurkan mekanisme tata kelola on-chain SGP: validator dengan minimal 100.000 SOL baru dapat mengajukan proposal)

Ringkasan Penting

  • Penyerang menghabiskan sekitar 4,4 juta dolar AS untuk membeli lebih dari 1% BONK, memenuhi ambang voting
  • Proposal yang menyelipkan transfer 4,43 triliun BONK terpajang berhari-hari tanpa terdeteksi, hanya 7 dari 18.000 alamat yang memberikan suara
  • Kontrak pintar menjalankan sesuai aturan, BONK senilai sekitar 20 juta dolar AS dikosongkan dari treasury, harga BONK turun sekitar 10%

Dunia kripto kembali mendapat contoh "perampokan legal". Tidak ada peretasan, tidak ada kebocoran kunci pribadi dalam kejadian ini. Penyerang dari awal hingga akhir menggunakan sistem voting BonkDAO sendiri. Ia terlebih dahulu menghabiskan sekitar 4,4 juta dolar AS untuk membeli lebih dari 1% BONK (sekitar 882,3 miliar koin), tepat melebihi ambang voting, sehingga satu suaranya dapat menentukan hasil. Tidak satu langkah pun yang "ilegal" dalam seluruh proses, inilah yang paling membuat merinding.

Serangan yang melalui semua prosedur resmi

Naskah serangan ini sangat sederhana hingga sulit dipercaya. Langkah pertama, membeli cukup 1% BONK untuk memenuhi hak voting; langkah kedua, mengajukan proposal dengan judul "Reformasi Tata Kelola"; langkah ketiga, menyelipkan satu kalimat tujuan sebenarnya dalam konten proposal, yaitu mentransfer 4,43 triliun BONK ke dompetnya sendiri.

Lebih canggihnya, proposal ini ditulis seperti slogan, mengatakan "membangun kembali dari abu, mencairkan posisi, menghentikan kerugian", bahkan menambahkan kalimat "siapa pun yang memilih setuju akan mendapatkan token" sebagai umpan.

18.000 alamat, hanya 7 yang memilih

Proposal bisa lolos bukan karena retorika, melainkan karena tidak ada yang melihat. Forum tata kelola BonkDAO memang sepi, ditambah kondisi pasar lesu sehingga semakin tidak diperhatikan, proposal ini terpajang selama beberapa hari tanpa terdeteksi. Saat voting ditutup, dari 18.000 alamat yang memiliki hak suara hanya 7 yang bertindak, suara penyerang mendominasi hampir 99,878% bobot suara.

Akhirnya voting disetujui dengan sekitar 882,3 miliar suara setuju, melebihi ambang sekitar 880 miliar, lolos dengan selisih yang sangat tipis. Jumlah suara setuju ini hampir sama persis dengan posisi yang perlahan dibeli penyerang selama beberapa hari. Begitu ambang terpenuhi, kontrak pintar langsung mengeksekusi, BONK senilai sekitar 20 juta dolar AS meninggalkan treasury.

Menghabiskan 4,4 juta, mengambil 20 juta, rasio input-output hampir 1 berbanding 5, tingkat pengembalian "bisnis" ini sangat tidak masuk akal.

BonkDAO kemudian menyatakan bahwa mereka telah mengidentifikasi dompet bursa yang digunakan penyerang untuk membeli koin, dan sedang bekerja sama dengan bursa, jembatan lintas rantai, dan Yayasan Solana untuk menangani dampaknya. Harga BONK pun turun sekitar 10%.

Pertanyaan Umum

Bagaimana serangan tata kelola BonkDAO terjadi?
Penyerang menghabiskan sekitar 4,4 juta dolar AS untuk membeli lebih dari 1% BONK guna memenuhi ambang voting, mengajukan proposal berjudul "Reformasi Tata Kelola" yang sebenarnya menyelipkan transfer 4,43 triliun BONK. Karena forum sepi dan tidak ada yang menyadarinya, hanya 7 dompet yang memberikan suara hingga lolos, kontrak pintar otomatis mentransfer sekitar 20 juta dolar AS.

Apakah serangan tata kelola dianggap sebagai peretasan?
Secara tegas, tidak. Penyerang tidak meretas sistem atau mencuri kunci pribadi, setiap langkah adalah transaksi yang valid, hanya mengeksploitasi celah desain tata kelola. Masalahnya terletak pada tidak adanya ambang voting minimum, kunci waktu, dan pengaman multi-tanda tangan, sehingga 7 dompet dapat menentukan nasib treasury senilai 20 juta dolar AS.

BONK-7,16%
ENS-3,71%
SOL-5,35%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan