David Schwartz, fost director tehnologic (CTO) al Ripple, a declarat că scurgerea de 20 de milioane de dolari din trezoreria BONK DAO ar putea fi tratată ca fraudă corporativă, chiar dacă atacatorul a folosit sistemul de guvernanță on-chain al proiectului pentru a aproba transferul.
Atacul s-a concentrat pe o propunere de guvernanță malițioasă care a mutat aproximativ 4,42 trilioane de tokenuri BONK din trezoreria DAO într-un portofel controlat de atacator. Transferul a urmat unui vot cu participare scăzută, în care atacatorul a folosit o majoritate temporară de voturi pentru a adopta propunerea.

BONK, un memecoin bazat pe Solana, a scăzut cu aproximativ 7% după incident. BONK DAO a descris evenimentul ca fiind o propunere de guvernanță malițioasă și a declarat că lucrează cu bursele, punțile de interoperabilitate și Fundația Solana.
Atacul a început când un portofel anonim a depus propunerea BIP #76, care includea o instrucțiune de a transfera tokenurile BONK din trezorerie în portofelul atacatorului. Propunerea avea nevoie de voturi favorabile egale cu 1% din oferta totală de BONK pentru a fi adoptată.
Conform analizei on-chain citate în rapoarte, atacatorul a cheltuit aproximativ 4,4 milioane de dolari cumpărând BONK prin burse precum Binance și Bybit. Unele rapoarte au menționat, de asemenea, că atacatorul a folosit platforme de împrumut DeFi pentru a-și spori puterea de vot.
Doar șapte portofele au votat asupra propunerii, în timp ce peste 18.000 de membri nu au participat. Participarea a fost de aproximativ 2,9%, permițând portofelului atacatorului să adopte propunerea cu aproape toate voturile favorabile.
Votul a atins cvorumul la limită, cu 882,38 miliarde de BONK în favoare, față de pragul de 879,95 miliarde. După adoptarea propunerii, transferul din trezorerie s-a executat automat.
David Schwartz a declarat că incidentul nu ar trebui ignorat ca o utilizare legală a regulilor on-chain. El a susținut că participanții la DAO pot avea încă obligații atunci când gestionează active comune.
Schwartz a caracterizat scurgerea drept fraudă corporativă deoarece participanții la DAO pot acționa ca fiduciari atunci când controlează fondurile comune ale trezoreriei. Punctul său de vedere a fost că o execuție validă a codului nu elimină responsabilitatea legală dacă activele comune sunt utilizate abuziv în mod conștient.
El a mai spus că instanțele de stat nu acceptă în general apărarea „codul este lege” atunci când activele sunt deturnate. Această poziție contestă argumentul conform căruia atacatorul a urmat doar regulile contractului inteligent.
Problema rămâne complexă din punct de vedere legal deoarece fiecare pas al tranzacției a avut loc prin procesul de guvernanță al proiectului. Cu toate acestea, BONK DAO și firmele de analiză au tratat evenimentul ca un atac, iar implicarea autorităților a fost raportată.
După adoptarea propunerii, aproximativ 20 de milioane de dolari în BONK au fost mutați din trezoreria DAO în portofelul controlat de atacator. Rapoartele indică faptul că aproximativ 188.000 de dolari au fost trimiși ulterior către o bursă, probabil pentru activități de conversie în numerar.
Suma rămasă a fost mutată într-un portofel multisig, conform Chainalysis. Un portofel multisig necesită mai multe aprobări înainte ca fondurile să poată fi mutate.
Atacatorul a vândut, de asemenea, BONK folosit pentru a obține controlul votului. Rapoartele indică faptul că aproximativ 5,3 milioane de dolari din BONK achiziționate au fost vândute după transferul din trezorerie.
Această secvență i-a lăsat atacatorului controlul asupra tokenurilor din trezoreria golite, eliminând în același timp o mare parte din participația de vot folosită pentru a adopta propunerea. Cazul a intensificat scrutinul asupra DAO-urilor care se bazează pe votul prin tokenuri fără verificări de siguranță mai stricte.
Incidentul BONK DAO a redeschis dezbaterea despre guvernanța ponderată în funcție de tokenuri. O trezorerie poate deveni vulnerabilă atunci când un cumpărător temporar de tokenuri poate achiziționa ieftin suficientă putere de vot pentru a adopta o propunere dăunătoare.
Atacul a expus, de asemenea, riscurile legate de participarea scăzută. Un grup mic de portofele de vot poate controla deciziile majore dacă cvorumul este scăzut și măsurile de protecție sunt slabe.
Protecțiile comune includ blocări temporale, praguri de cvorum mai ridicate, drepturi de veto de urgență, perioade de revizuire a propunerilor și limite pentru transferurile din trezorerie. Transferul BONK DAO s-a executat fără o întârziere suficientă pentru a preveni scurgerea.
Articolul „Fostul CTO al Ripple spune că scurgerea din trezoreria BONK DAO ar putea fi fraudă corporativă” a apărut prima dată pe CoinCentral.


