Ataque de governança DAO da Bonk: Misterioso gasta US$ 4,4 milhões para 'legalmente' transferir US$ 20 milhões

Ladrão à luz do dia: alguém gastou cerca de US$ 4,4 milhões para comprar mais de 1% do BONK, atingindo o limite de votação, e então apresentou uma proposta intitulada "Reforma da Governança", escondendo nela uma frase: "transferir 4,43 trilhões de BONK para minha carteira". A proposta ficou no fórum do BonkDAO por vários dias sem ser notada. Dos 18.000 endereços com direito a voto, apenas 7 votaram. O próprio atacante votou a favor, e o contrato inteligente do DAO executou conforme o planejado, transferindo "legalmente" cerca de US$ 20 milhões em BONK para fora do tesouro.
(Recapitulação: Disputa interna de governança do ENS se intensifica: cofundador propõe delegar 5 milhões de ENS para diluir o poder de voto de um grande detentor)
(Contexto adicional: Solana lança mecanismo de governança on-chain SGP: validadores com mais de 100 mil SOL podem apresentar propostas)

Resumo dos pontos principais

  • Atacante gastou cerca de US$ 4,4 milhões para comprar mais de 1% do BONK, atingindo o limite de votação
  • Proposta que desviava 4,43 trilhões de BONK ficou dias sem ser notada; apenas 7 dos 18.000 endereços votaram
  • Contrato inteligente executou conforme o planejado, esvaziando o tesouro em cerca de US$ 20 milhões em BONK; preço do BONK caiu cerca de 10%

Mais uma demonstração de "roubo legal" no mundo cripto. Este incidente não envolveu invasão de hackers nem vazamento de chaves privadas. O atacante seguiu do início ao fim o próprio sistema de votação do BonkDAO. Ele primeiro gastou cerca de US$ 4,4 milhões para comprar mais de 1% do BONK (cerca de 882,3 bilhões de tokens), ultrapassando exatamente o limite de votação, permitindo que seu voto sozinho decidisse o resultado. Nenhuma etapa do processo foi "ilegal" — e é isso que é mais assustador.

O "ataque" que seguiu todos os procedimentos legais

O roteiro do ataque foi incrivelmente simples. Primeiro passo: comprar 1% do BONK para obter direito a voto. Segundo passo: apresentar uma proposta com o título "Reforma da Governança". Terceiro passo: esconder na proposta o verdadeiro objetivo — transferir 4,43 trilhões de BONK para sua própria carteira.

Mais elaborado ainda, a proposta foi escrita como se fosse um slogan, dizendo que iria "reconstruir a partir das cinzas, realizar posições e estancar perdas", e ainda acrescentou "quem votar a favor receberá tokens" como isca.

Dos 18.000 endereços, apenas 7 votaram

A proposta passou não por retórica, mas por falta de atenção. O fórum de governança do BonkDAO já era pouco movimentado, e com o mercado em baixa, ninguém prestou atenção. A proposta ficou pendente por vários dias sem ser descoberta. No encerramento da votação, dos 18.000 endereços com direito a voto, apenas 7 votaram, e os votos do atacante representavam quase 99,878% do peso de votação.

No final, a votação foi aprovada por uma margem estreita: cerca de 882,3 bilhões de BONK a favor, superando o limite de cerca de 880 bilhões. Esse número de votos a favor era quase exatamente igual à posição que o atacante havia comprado lentamente ao longo dos dias. Assim que o limite foi ultrapassado, o contrato inteligente executou imediatamente, transferindo cerca de US$ 20 milhões em BONK para fora do tesouro.

Gastou US$ 4,4 milhões e levou US$ 20 milhões — uma relação custo-benefício de quase 1 para 5, uma taxa de retorno absurdamente alta.

O BonkDAO afirmou posteriormente que já identificou a carteira da exchange usada pelo atacante para comprar os tokens e está colaborando com exchanges, pontes cross-chain e a Solana Foundation para lidar com a situação. O preço do BONK caiu cerca de 10% com o impacto.

Perguntas frequentes

Como ocorreu o ataque de governança ao BonkDAO?

O atacante gastou cerca de US$ 4,4 milhões para comprar mais de 1% do BONK, atingindo o limite de votação, e apresentou uma proposta intitulada "Reforma da Governança", que na verdade escondia a transferência de 4,43 trilhões de BONK. Devido à baixa atividade no fórum, ninguém percebeu, e apenas 7 carteiras votaram para aprová-la. O contrato inteligente transferiu automaticamente cerca de US$ 20 milhões.

O ataque de governança é considerado um ataque de hacker?

Tecnicamente, não. O atacante não invadiu sistemas nem roubou chaves privadas; cada passo foi uma transação válida, apenas explorando uma falha no design da governança. O problema foi a falta de um limite mínimo de votação, de um mecanismo de time-lock e de múltiplas assinaturas, permitindo que 7 carteiras decidissem o destino de um tesouro de US$ 20 milhões.

BONK-3,40%
ENS-2,58%
SOL-4,47%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado