(120BTC.cOM 消息)2026年7月6日凌晨,Solana生态中的Meme代币BONK经历了一次典型的治理攻击。这次事件的中心是BonkDAO,一个负责社区治理的组织。攻击者利用一份获得通过的治理提案,从DAO的金库中转移走了4.4兆枚BONK,按当时市场价计算价值约1930万美元。事后,官方X账号@bonk_dao发布公告,表示已经向执法部门报告,并开始联系交易所协调应对。事件发生后,BONK现货价格在24小时内下跌了大约7%到10%,跌至0.0000043美元附近(以实时行情平台为准)。对比其历史高点0.000058美元,这个价格差不多跌去了93%。对于新手来说,这算是一个非常有教育意义的案例:哪怕通过了社区投票,治理流程本身也可能被利用。
攻击流程拆解:提案76「Sowellian BonkDAO」暗藏恶意指令
攻击者提交的是一份名为“Sowellian BonkDAO”的治理提案,即Bonk Improvement Proposal #76。从表面看,这提案描述的是一套看上去挺合理的改革方案,包括引入新的治理架构、调整委员会成员、重组金库、甚至还想通过某种方式让持仓“货币化”并设置止损机制。提案还承诺所有投赞成票的参与者都能拿到BONK代币作为奖励。看起来像是一次正常的社区优化讨论。提案通过投票后,问题才暴露出来。提案中隐藏的第二条执行指令,实际上是一个权限操作,直接把金库里的4.4兆枚BONK转到了一个以“JHvQ”结尾的钱&包地址。发生时间大约是美东时间7月6日凌晨4点左右。至于之前承诺给赞成票的奖励,当然是一分没发。到了同一天下午3点半左右,这笔资金又被转移到了另一个以“eh42”结尾的地址。这类操作的套路其实很老,但对于新手来说,第一次看到可能会觉得“怎么可能这么容易”。
攻击者从不引人注意的交易所钱&包里攒投票权,悄悄绕过了监管
这次攻击的关键并不在于智能合约本身出了漏洞,而在于攻击者精准利用了DAO自己的投票规则。根据Decrypt和The Block对链上数据的分析,攻击者在事件发生前几天,通过多个交易所钱&包分散买入BONK,慢慢积累起足够影响投票结果的票数。这样一来,提案在社区大多数人还没反应过来的时候,就顺利通过了。BonkDAO团队表示,他们已经识别出其中一个买入BONK的交易所来源是Bybit账户,并且正在持续追踪资金去向。对于普通用户来说,这件事提醒我们:光看提案的标题和承诺是不够的,代币投票这种机制,一旦投票权被恶意集中,所谓的“社区治理”就可能变成少数人的游戏。
Upbit与Kraken暂停提币,BonkDAO已向执法部门报案
攻击消息传出后,Upbit和Kraken两家交易所按照安全事件的处理流程,第一时间暂停了BONK的充值和提币业务。BonkDAO在X平台上发文说,他们已经向执法部门报告,并会持续和相关方合作,追回被盗资金并确认责任归属。回顾2026年上半年,加密社区已经连续发生过好几起类似的DAO治理攻击事件。这类事件的共同特点,是攻击者不需要攻破任何一条智能合约防线,只需要合法地走完投票流程,就能把金库的钱拿走。问题主要出在,许多治理机制对提案内容的真实性缺乏足够核查。对于币圈新手而言,这是一个非常值得警惕的信号:投票权不等于安全,参与治理时一定要多留个心眼。
