440万美元撬动2000万:BonkDAO遭“合法治理攻击”
一场没有黑客技术的“合法抢劫”
如果有人声称自己没黑进系统、没利用代码漏洞、也没说谎,却堂而皇之地从一个DAO财库中拿走了近2000万美元的代币,听起来像是天方夜谭。但在Web3世界,这真实发生了。Solana生态头部Meme项目BonkDAO于2026年7月7日凌晨披露,其遭遇了一次恶意治理提案攻击,导致财库中价值约2000万美元的BONK代币被转走。
披着治理外衣的资产掠夺
此次攻击源于2026年6月30日在治理平台Realms上提交的提案BIP #76——“Sowellian BonkDAO”。该提案名义上提出实施“索维尔式”治理改革,包括更换委员会、重建DAO、处置持仓并奖励赞成票持有者。但实质内容直白得近乎荒诞:“请将财库中全部4.4万亿BONK(约合2000万美元)转入我的地址。”
440万美元买下“绝对控股权”
攻击者并未使用复杂技术,而是采取最原始的“钞能力”策略。据链上分析机构余烬统计,攻击者在提案前从币安和Bybit提取了8822.85亿枚BONK(当时价值约440万美元),刚好满足BonkDAO治理规则中1%的最低投票门槛。由于DAO日常治理参与度极低,最终仅有7个地址参与投票。攻击者凭借手中代币获得99.878%的投票权重,轻松通过提案。
智能合约自动执行,“抢劫”瞬间完成
2026年7月6日,提案正式通过。由于BonkDAO未设置执行延迟机制,智能合约立即执行指令,将4.4万亿BONK(约2000万美元)划转至攻击者地址。资金到账后,攻击者迅速转移资产,使追回难度大增。
DAO为何毫无防御?
成熟的DAO通常设有三重防线:一是提高重大提案的投票门槛;二是引入时间锁(Timelock),延迟执行数日以便社区反应;三是授权多签团队拥有紧急否决权。然而,BonkDAO在这三方面均严重缺失,导致恶意提案一经通过便不可逆地被执行。讽刺的是,攻击者故意将提案命名为“Sowellian BonkDAO”,借用Realms平台引以为豪的博弈治理机制之名,反向利用其规则完成掠夺。
行业警钟:治理逻辑比代码更脆弱
此次事件并非智能合约漏洞所致,而是一场纯粹的治理机制滥用。它揭示了一个残酷现实:在去中心化世界中,规则设计的疏漏可能比黑客攻击更具破坏力。BonkDAO的教训为整个Web3行业敲响警钟——真正的安全不仅在于代码审计,更在于健全、审慎且具备应急响应能力的治理架构。






