去中心化自治组织 (DAO) BonkDAO 披露了一项重大安全漏洞,导致其金库中约 2000 万美元被盗。该漏洞利用了 DAO 治理机制中的弱点,允许单个攻击者夺取控制权并窃取资金。
根据 BonkDAO 的说法,攻击者首先在多个交易所获取了价值 400 万美元的 BONK 代币,以积累足够的投票权。凭借这一多数股权,他们单方面批准了一项恶意治理提案,授权将 44.26 亿个 BONK 代币(当时价值约 2000 万美元)从 DAO 的金库转移到他们控制下的钱包中。作为一种象征性的统治行为,攻击者还将该组织更名为“Sowellian BonkDAO”。
区块链分析平台 Solscan.io 显示,攻击者已经开始将被盗代币转移到中心化交易所。这一活动引发了巨大的抛售压力,导致 BONK 的价格在过去 24 小时内下跌 7.25% 至 0.0544 美元。就在两天前,BONK 还曾是表现最好的模因币之一,尽管市场整体低迷,但单日上涨 14%。
作为回应,BonkDAO 表示,它正在与跨链桥、加密货币交易所、Solana 基金会和执法机构合作,努力追踪、冻结并可能追回被盗资产。该项目官方 X 帐户上的一篇帖子证实了这些正在进行的努力 (@bonk_inu)。
此次攻击之所以成功,很大程度上是因为 BonkDAO 治理设计中缺少关键的安全保障措施。值得注意的是,执行时间锁定(它在提案批准和执行之间引入了强制延迟,以允许社区审查)以及强制多重签名覆盖机制(使受信任方能够在紧急情况下停止可疑交易)都缺失了。
此事件是在 3 月份发生的一次安全漏洞之后发生的,当时 bonk.fun 域(一个基于 Solana 的热门 meme 币启动板)被劫持。攻击者用恶意脚本替换了网站的“接受服务条款”提示,从而耗尽了连接的钱包。然而,该漏洞很快得到了遏制,每个受影响的钱包的损失仅限于大约 50 SOL(总共约 35 个)。
值得注意的是,就在 BonkDAO 漏洞发生前几个小时,区块链安全公司 Blockaid 发布了针对 DeFi 收益协议 Summer.fi 的价值 600 万美元的活跃攻击的警报,突显了 7 月份整个加密生态系统的威胁环境加剧。
