Ataque de gobernanza DAO de Bonk: un misterioso personaje se lleva "legalmente" 20 millones de dólares gastando 4,4 millones

Un ladrón descarado gastó unos 4,4 millones de dólares para comprar más del 1% de BONK, superando el umbral de votación, y luego presentó una propuesta titulada "Reforma de gobernanza" que ocultaba una línea: "transfiere 4,43 billones de BONK a mi billetera". La propuesta estuvo colgada durante varios días en el foro de BonkDAO sin ser detectada; de 18 000 direcciones con derecho a voto, solo 7 votaron. El atacante votó a favor, y el contrato inteligente de la DAO ejecutó la orden, transfiriendo "legalmente" unos 20 millones de dólares en BONK fuera de la tesorería.

(Antecedentes: La lucha interna de gobernanza de ENS se intensifica: cofundador propone delegar 5 millones de ENS para diluir el poder de voto de un gran tenedor) (Contexto complementario: Solana lanza el mecanismo de gobernanza en cadena SGP: solo validadores con más de 100 000 SOL pueden presentar propuestas)

Resumen clave

  • El atacante gastó unos 4,4 millones de dólares para comprar más del 1% de BONK, alcanzando el umbral de votación.
  • La propuesta que incluía la transferencia de 4,43 billones de BONK estuvo colgada durante días sin ser detectada; solo 7 de 18 000 direcciones votaron.
  • El contrato inteligente ejecutó la orden, vaciando la tesorería de unos 20 millones de dólares en BONK, y el precio de BONK cayó aproximadamente un 10%.

El mundo cripto tiene un nuevo ejemplo de "robo legal". En este incidente no hubo hackeo ni filtración de claves privadas; el atacante utilizó todo el tiempo el propio sistema de votación de BonkDAO. Primero gastó unos 4,4 millones de dólares para comprar más del 1% de BONK (aproximadamente 882,3 mil millones de tokens), justo superando el umbral de votación, permitiéndole decidir el resultado con un solo voto. Todo el proceso no tuvo un solo paso "ilegal", y eso es lo más escalofriante.

Un "ataque" que siguió todos los procedimientos formales

El guion del ataque fue increíblemente simple. Primer paso: comprar suficiente 1% de BONK para obtener poder de voto. Segundo paso: presentar una propuesta titulada "Reforma de gobernanza". Tercer paso: ocultar en el contenido de la propuesta el verdadero objetivo: transferir 4,43 billones de BONK a su propia billetera.

Más elaborado aún, la propuesta estaba redactada como un eslogan, diciendo que "reconstruir desde las cenizas, liquidar posiciones, detener pérdidas", e incluso añadió "los que voten a favor recibirán tokens" como cebo.

De 18 000 direcciones, solo 7 votaron

La propuesta se aprobó no por retórica, sino porque nadie la estaba mirando. El foro de gobernanza de BonkDAO ya era tranquilo, y con el mercado bajista llamaba aún menos la atención. La propuesta estuvo colgada durante varios días sin ser detectada. Al cierre de la votación, de las 18 000 direcciones con derecho a voto, solo 7 participaron, y los votos del atacante representaban casi el 99,878% del peso de los votos.

Finalmente, la votación se aprobó con unos 882,3 mil millones de votos a favor, superando el umbral de unos 880 mil millones por un margen muy estrecho. Esta cantidad a favor era casi exactamente igual a las posiciones que el atacante había ido comprando lentamente esos días. Una vez superado el umbral, el contrato inteligente ejecutó la orden de inmediato, transfiriendo unos 20 millones de dólares en BONK fuera de la tesorería.

Gastó 4,4 millones y se llevó 20 millones, una relación costo-beneficio de casi 1 a 5, un rendimiento absurdamente alto.

BonkDAO declaró posteriormente que ya ha identificado la billetera del exchange que el atacante usó para comprar los tokens, y está colaborando con exchanges, puentes cross-chain y la Fundación Solana para abordar la situación. El precio de BONK cayó aproximadamente un 10% tras el incidente.

Preguntas frecuentes

¿Cómo ocurrió el ataque de gobernanza a BonkDAO?

El atacante gastó unos 4,4 millones de dólares para comprar más del 1% de BONK, superando el umbral de votación, y presentó una propuesta titulada "Reforma de gobernanza" que en realidad ocultaba la transferencia de 4,43 billones de BONK. Debido a que el foro estaba inactivo y nadie lo notó, solo 7 billeteras votaron para aprobarla, y el contrato inteligente transfirió automáticamente unos 20 millones de dólares.

¿El ataque de gobernanza cuenta como un hackeo?

Estrictamente hablando, no. El atacante no invadió el sistema ni robó claves privadas; cada paso fue una transacción válida, simplemente explotó una vulnerabilidad en el diseño de la gobernanza. El problema radica en la falta de un umbral mínimo de votación, bloqueos de tiempo y controles de múltiples firmas, lo que permitió que 7 billeteras decidieran el destino de una tesorería de 20 millones de dólares.

BONK-5,29%
ENS-3,96%
SOL-6,25%
Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
Sin comentarios
  • Fijado