Ze skarbca BonkDAO, organizacji zarządzającej memecoinem BONK na Solanie, zniknęło w poniedziałek około 4,43 bln tokenów wartych blisko 20 mln dolarów. Nikt nie złamał kodu i nikt nie ukradł kluczy prywatnych. Sprawca zgłosił propozycję przelewu środków na własny portfel, dokupił tyle tokenów, ile wymagało kworum, i sam ją przegłosował. System wykonał przelew automatycznie, bo tak został zaprojektowany.
Z tego tekstu dowiesz się:
- jak przebiegał atak na BonkDAO i ile kosztowało kupienie wyniku głosowania,
- dlaczego o losie 20 mln dolarów zdecydowało 7 portfeli z ponad 18 tysięcy,
- jak zareagowały giełdy, kurs BONK i organy ścigania,
- czemu prawnicy nie są zgodni, czy doszło do przestępstwa.
Manifest na wierzchu, przelew w załączniku
Propozycja z numerem BIP #76 i szyldem „Sowellian BonkDAO” pojawiła się na platformie głosowań Realms 30 czerwca. Autor zapowiadał nowy model zarządzania, powołanie rady, monetyzację aktywów i zatrzymanie spadków kursu, a głosującym na „tak” obiecywał tokeny w prezencie. Konkret znalazł się dopiero w instrukcjach wykonawczych: polecenie przelewu 4,43 bln BONK, czyli około 5 proc. całej podaży, na wskazany adres.
Do przyjęcia wniosku wystarczało poparcie równe 1 proc. podaży tokena, w praktyce blisko 880 mld BONK. Z danych firmy analitycznej Lookonchain wynika, że 4 i 5 lipca, tuż przed zamknięciem głosowania, atakujący kupił niemal dokładnie taki pakiet. Zapłacił około 4,4 mln dolarów na giełdach Bybit i Binance, a część pozycji miał uzupełnić pożyczkami w protokołach DeFi. Potem oddał głos sam na siebie. Za wnioskiem opowiedziało się 99,9 proc. głosujących, a próg kworum został przekroczony o niecałe 2,5 mld tokenów, czyli o włos. W głosowaniu wzięło udział raptem 7 portfeli, choć organizacja liczy ponad 18 tysięcy członków. Przez sześć dni, gdy wniosek wisiał publicznie, nikt nie zgłosił sprzeciwu ani kontrpropozycji.
Reszta odbyła się bez udziału człowieka. Regulamin BonkDAO nie przewidywał ani opóźnienia wykonania uchwały, ani dodatkowego podpisu multisig, więc po zakończeniu głosowania 6 lipca skarbiec sam wysłał tokeny na adres sprawcy. Godzinę później ten zaczął wyprzedawać pakiet kupiony pod głosowanie i według danych on-chain upłynnił już tokeny za około 5,3 mln dolarów.
Kradzież czy gra według reguł?
BonkDAO potwierdziło atak w komunikacie na platformie X i zawiadomiło organy ścigania. Zespół ustalił, przez które giełdowe konta finansowano zakupy przed głosowaniem, i współpracuje z giełdami, operatorami mostów oraz Solana Foundation. Upbit, Bithumb i Kraken wstrzymały już wpłaty i wypłaty BONK. Kurs tokena tracił w poniedziałek od kilku do kilkunastu procent, zależnie od momentu pomiaru, przy wolumenie wyższym o blisko połowę.
Osobny spór toczy się o kwalifikację całego zdarzenia. Skoro każdy krok był poprawną transakcją, część branży przekonuje, że sprawca jedynie wykorzystał dziurawe reguły, a nie popełnił przestępstwo. David Schwartz, wieloletni dyrektor techniczny Ripple, odpowiada, że zgodność ze smart kontraktem nie czyni transakcji legalną, a wyprowadzenie wspólnych środków może zostać uznane za oszustwo. Prawnicy wskazują na precedens Mango Markets, gdzie za podobne „wykorzystanie reguł” Avraham Eisenberg usłyszał federalne zarzuty oszustwa.
Sam schemat nie jest nowy. W 2022 roku protokół Beanstalk stracił 182 mln dolarów, gdy napastnik zdobył większość głosów za pomocą flash loana. BonkDAO różni od tamtej sprawy tylko cierpliwość sprawcy: zamiast pożyczki na sekundy wybrał zwykłe zakupy rozłożone na dwa dni. Wniosek dla całej branży pozostaje ten sam. Skarbiec z głosowaniem ważonym tokenami, niskim kworum i natychmiastowym wykonaniem uchwał to sejf, do którego szyfr można po prostu kupić. I dopóki projekty nie zaczną traktować bezpieczeństwa governance tak poważnie jak audytów kodu, kolejne DAO będą płacić za tę lekcję po cenach rynkowych.
Redakcja BitHub.pl poleca również: