
440 万ドルを費やし「投票」で 2000 万を持ち出す、BonkDAO が史上最も皮肉な DAO ガバナンス攻撃に見舞われる
TechFlow厳選深潮セレクト

440 万ドルを費やし「投票」で 2000 万を持ち出す、BonkDAO が史上最も皮肉な DAO ガバナンス攻撃に見舞われる
相場が悪い時、治理論壇を誰も見ていないと、自治は自助出金になってしまう。
著者:クロード、TechFlow
TechFlow 編集部ピックアップ:BonkDAO のトレジャリーから、ガバナンス提案を用いて「合法的」に約 2000 万ドル相当の BONK トークンが持ち出された。攻撃者は 440 万ドルをかけて投票権のちょうど 1% を超える BONK を購入し、ガバナンス改革を装った提案を提出。6 日間誰にも顧みられることなく待機し、その後自ら投票して可決させ、スマートコントラクトが自動的に送金を実行した。
この過程においてコードの脆弱性もハッキング侵入もなく、あったのはほとんど誰も見ていないガバナンスフォーラムと、整整 6 日間無視され続けた 1 つの提案だけだった。BONK 価格はこれを受けて約 8% 下落した。

一人の人物が 440 万ドルを費やし、2000 万ドル相当の BONK トークンを持ち出した。コードが破られたわけではなく、利用したのは BonkDAO 自身の投票システムだ。
7 月 6 日、攻撃者が Solana チェーン上のガバナンスプラットフォーム Realms を経由で提出した悪意ある提案が自動実行され、約 4.426 兆枚の BONK トークンが BonkDAO のトレジャリーから攻撃者が制御するウォレットへ転送された。当時の価格計算で約 2000 万ドル相当だ。
BonkDAO はその後 X プラットフォーム上で「悪意あるガバナンス提案」攻撃を受けたことを確認し、捜査当局へ通知済みであること、取引所、クロスチェーンブリッジ、および Solana 財団と協力して資金の追跡を行っていることを示した。
この事件で際立っているのはその手法だ:攻撃者は全程「合法的な手続き」を踏んでいる。
バグを突きガバナンス規則を悪用、ただ自分へ送金するためだけに
CoinDesk の 7 月 7 日の報道によると、攻撃者の操作経路は複雑ではない。
6 月 30 日、攻撃者は编号 BIP #76 の提案を提出した。タイトルは「Sowellian BonkDAO」で、表面上はガバナンス改革案として包装され、「新しいメンバーと委員会の任命」「資産の貨幣化」「出血を止める」といった内容に触れ、さらには「賛成票を投じたすべての人がトークン獲得の資格がある」とさえ約束していた。しかし提案の核心的な実行指令は 1 つだけだ:
4.426 兆枚の BONK を攻撃者が制御するアドレスへ転送する。
これに先立ち、攻撃者は Bybit、Binance などの取引所を通じて約 440 万ドル相当の BONK を分割購入し、蓄積した保有量がちょうど BonkDAO の 1% の投票閾値(クォーラム、つまり提案発効に必要な最低参加率)を超えた。

提案はガバナンスフォーラムに 6 日間掲示された。その間、BonkDAO の 1 万 8000 名を超える資格ある投票メンバーのうち、、わずか 7 つのウォレットのみが投票に参加し、投票率は約 2.9% だった。攻撃者は自身の保有量で賛成票を投じ、投票総量の 99.878% を占めた。賛成票は 882 億 3800 万枚の BONK で、ちょうど 879 億 9500 万枚の閾値を越えた。
7 月 6 日、提案は自動可決され、スマートコントラクトが規定通り実行し、2000 万ドルが転送された。
ガバナンスフォーラムは誰も見ず、提案は自動現金預け払い機と化した
暗号資産 KOL である TheDeFinvestor は、これはハッキング攻撃ですらないと考えている。提案が可決された理由は非常にシンプルで荒唐無稽だ。つまり、BONK 保有者がガバナンスフォーラムの提案詳細が実際何なのかを本当に確認しなかったということだ。
この言葉が刺痛するのは、DAO ガバナンス全体の根底にある仮説だ。
トークン加重投票(token-weighted voting)の論理的な前提は、保有者は経済的な利益が紐付いているためプロジェクトの未来を気にするということだ。しかしこの仮説はミームコインプロジェクトではほぼ完全に機能しない。
BONK の保有者の绝大多数は投機的なトレーダーであり、購入目的は価格変動だ。ガバナンス決定は彼らに関係ない。通貨価格が 2024 年 11 月の歴史的高値 0.000059 ドルから 93% 下落し、時価総額が 40 億ドル以上から 4 億ドル未満に縮小すると、投機家の熱意さえも消退し、ガバナンスフォーラム内の提案リストを覗く者などいなくなった。
市場が冷えている時、フォーラムも冷えている。フォーラムが冷えている時、送金指令を隠した提案は静かに 6 日間掲示され、自動実行を待つことができる。
調査機関 Gauntlet の 2023 年の調査によると、主要な DeFi プロトコルの 60% 以上で投票参加率が 10% 未満だった。BonkDAO の 2.9% という投票率はこの文脈では異常ですらない。
440 万で 2000 万:攻撃コストは収益を大幅に下回る
もし悪意ある人物なら、攻撃を発動するには実はこの計算も合う。
攻撃者は約 440 万ドルをかけて投票権を購入し、約 2000 万ドルのトレジャリー資産を持ち出した。投入産出比はほぼ 1:5 だ。
純粋な経済観点から見れば、DAO のトレジャリー資産規模が投票閾値購入に必要なコストよりも大きければ、こうした攻撃は利益になる。BonkDAO のクォーラムは総供給量の 1% に設定されており、投票参加率は長期的に 3% 未満だ。攻撃者は誰を説得する必要もなく、誰も注意していない時に現れて、金で投票するだけでよい。
ブロックチェーンセキュリティ企業 PeckShield の監視によると、盗まれた BONK のうち約 14 万 8000 ドル相当がすでに OKX 取引所へ流入している。韓国取引所 Upbit は BONK の入金と出金を停止した。SlowMist 共同創業者の余弦は X プラットフォーム上で約 4.426 兆 BONK の転送記録を確認した。
BONK 価格は消息公布後約 8% から 10% 下落し、記事執筆時点では 0.000004 ドル付近を報告している。
回収前景は楽観視できず、ガバナンスの修正こそが真の問題
BonkDAO は攻撃者が BONK 購入に使用した取引所ウォレットを特定済みであり、Chainalysis などのオンチェーン分析企業と協力して資金流向を追跡していると示した。しかしガバナンス提案を通じて実行されたオンチェーン転送は技術的には「合法取引」であり、スマートコントラクトの脆弱性悪用とは異なり、オンチェーンロールバックやハードフォークを通じて逆転させることはできない。資金回収の希望は主に取引所の凍結と捜査介入に託されており、前提は攻撃者の実体身份を成功裡に特定することだ。
より大きな潜在的なリスクは、Solana の Realms ガバナンスプラットフォーム上で 800 を超える DAO が稼働しており、合計 15 億ドルを超えるトレジャリー資産を管理していることだ。トレジャリー規模がクォーラム購入コストよりも大きく、かつ投票参加率が 10% 未満の DAO はใดも同様のリスクエクスポージャーに直面している。
最後に、筆者が最も皮肉だと感じる点は、DAO の全称は「分散型自律組織」であり、「自律」の前提は実際にガバナンスしている人がいることだ。
誰もガバナンスフォーラムを見ない時、「分散化」は「誰も管理しない」ことになり、「自律」は「自動現金預け払い」になってしまう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














