BONK DAOは、スマートコントラクトが1つもハッキングされずに約$20M を失いました。
これはエクスプロイトではありません。ガバナンス操作でした。
攻撃者がどのように実行したか、正確に説明します:
➤ 約$4M 相当の
$BONK を蓄積し、大きな投票権を得ました。
➤ 自分が管理するウォレットに4.4兆BONK(約2000万ドル)を送金するよう要求する悪意のあるガバナンス提案を提出しました。
➤ この提案は7日間の投票期間中、ほとんど気づかれないままでした。
➤ 投票終了直前に、攻撃者は自身の投票権を使って提案を可決しました。
➤ DAOは承認された提案を自動的に実行するため、スマートコントラクトが侵害されることなく、トランザクションはトークンを送金しました。
➤ その後、攻撃者はトークンを売却し、推定$4M の投資を約2000万ドルに変えました。
重要な教訓:
これはプロトコルハッキングではなく、ガバナンス攻撃でした。
ガバナンストークンが集中すると、適切な安全策がない場合、攻撃者は事実上DAOの支配権を「購入」し、オンチェーン投票を通じて合法的にトレジャリー資金を引き出すことができます。
強固なガバナンスには、安全なスマートコントラクト以上のものが必要です。定足数基準、投票監視、実行遅延(タイムロック)、緊急拒否権メカニズムなどの保護も必要です。
BONK DAOは法執行