Ataque de governança DAO do Bonk: Pessoa misteriosa gasta 4,4 milhões "legalmente" e retira 20 milhões de dólares

Ladrão à vista: alguém gastou cerca de 4,4 milhões de dólares para comprar mais de 1% do BONK, atingindo o limite de votação, e depois apresentou uma proposta intitulada "Reforma da Governança", que escondia a frase "transferir 4,43 biliões de BONK para a minha carteira". Esta proposta ficou pendente no fórum da BonkDAO durante vários dias sem ser detetada, apenas 7 dos 18 000 endereços com direito a voto participaram, o atacante votou a favor, e o contrato inteligente da DAO executou conforme as regras, transferindo cerca de 20 milhões de dólares em BONK "legalmente" do tesouro.
(Resumo anterior: A luta interna da governança da ENS escalou: cofundador propôs delegar 5 milhões de ENS para diluir o poder de voto de um grande detentor)
(Contexto adicional: Solana lança mecanismo de governança on-chain SGP: apenas validadores com mais de 100 000 SOL podem apresentar propostas)

Resumo

  • O atacante gastou cerca de 4,4 milhões de dólares para comprar mais de 1% do BONK, atingindo o limite de votação
  • A proposta que incluía a transferência de 4,43 biliões de BONK ficou pendente vários dias sem ser detetada, apenas 7 dos 18 000 endereços votaram
  • O contrato inteligente executou conforme as regras, o tesouro perdeu cerca de 20 milhões de dólares em BONK, e o preço do BONK caiu cerca de 10%

O mundo das criptomoedas tem mais um exemplo de "roubo legal". Este incidente não envolveu hackers nem vazamento de chaves privadas; o atacante percorreu todo o sistema de votação da própria BonkDAO. Primeiro, gastou cerca de 4,4 milhões de dólares para comprar mais de 1% do BONK (cerca de 882,3 mil milhões), excedendo o limite de votação, permitindo que um único voto seu decidisse o resultado. Todo o processo foi "legal", e é isso que mais assusta.

O "ataque" que seguiu todos os procedimentos oficiais

O roteiro do ataque foi incrivelmente simples. Primeiro passo: comprar 1% do BONK para obter direito de voto; segundo passo: apresentar uma proposta com o título "Reforma da Governança"; terceiro passo: esconder na proposta o verdadeiro objetivo, transferir 4,43 biliões de BONK para a sua própria carteira.

Mais detalhadamente, a proposta ainda foi escrita como um slogan, dizendo "reconstruir a partir das cinzas, liquidar posições, parar a hemorragia", e até acrescentou "quem votar a favor receberá tokens" como isca.

18 000 endereços, apenas 7 votaram

A proposta passou não por retórica, mas por falta de atenção. O fórum de governança da BonkDAO já era pouco movimentado, e com o mercado em baixa, ninguém prestou atenção. A proposta ficou pendente por vários dias sem ser descoberta. No final da votação, apenas 7 dos 18 000 endereços com direito a voto participaram, e os votos do atacante representavam quase 99,878% do peso de votação.

Por fim, a votação foi aprovada com cerca de 882,3 mil milhões a favor, ultrapassando o limite de cerca de 880 mil milhões, uma margem muito estreita. O número de votos a favor correspondia quase exatamente à posição que o atacante tinha acumulado lentamente nos dias anteriores. Assim que o limite foi ultrapassado, o contrato inteligente executou imediatamente, transferindo cerca de 20 milhões de dólares em BONK do tesouro.

Gastar 4,4 milhões, levar 20 milhões, uma relação custo-benefício de quase 1 para 5, esta "transação" teve um retorno absurdamente alto.

A BonkDAO afirmou posteriormente que já identificou a carteira da exchange usada pelo atacante para comprar os tokens, e está a colaborar com a exchange, pontes cross-chain e a Solana Foundation para resolver a situação, enquanto o preço do BONK caiu cerca de 10%.

Perguntas Frequentes

Como ocorreu o ataque de governança à BonkDAO?

O atacante gastou cerca de 4,4 milhões de dólares para comprar mais de 1% do BONK, atingindo o limite de votação, e apresentou uma proposta intitulada "Reforma da Governança", que na verdade incluía a transferência de 4,43 biliões de BONK. Devido ao pouco movimento no fórum, ninguém a detetou, e apenas 7 carteiras votaram para aprovar, levando o contrato inteligente a transferir automaticamente cerca de 20 milhões de dólares.

O ataque de governança pode ser considerado um ataque de hackers?

Estritamente falando, não. O atacante não invadiu o sistema nem roubou chaves privadas; cada passo foi uma transação válida, apenas explorou uma falha no design da governança. O problema reside na falta de um limite mínimo de votação, de um bloqueio temporal e de uma verificação multi-assinatura, permitindo que apenas 7 carteiras decidissem o destino de um tesouro de 20 milhões de dólares.

BONK-5,29%
ENS-3,96%
SOL-6,25%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
Nenhum comentário
  • Fixado