logo
$7M Ultimate Champion
Зарегистрируйтесь и получите 15 000 USDT в наградах
Ограниченное предложение ждёт вас!

Атака на управление BonkDAO: как было выведено $20 млн одним голосованием

Ключевые моменты

Злоумышленник потратил $4,4 млн на покупку 1% BONK, набрал кворум при низкой явке и вывел $20 млн из казначейства BonkDAO. Материал раскрывает механизм атаки на систему управления и связанные риски.

7 июля 2026 года злоумышленник вывел из казначейства BonkDAO около $20 млн в токенах BONK, не используя никаких уязвимостей в коде. Не было обнаружено ошибок в смарт-контрактах, кражи приватных ключей или фишинговых атак. Злоумышленник просто приобрёл достаточный объём токенов для получения голосующего большинства, чтобы одобрить предложение, предусматривающее перевод средств из казначейства на свой кошелёк — остальные действия выполнили правила DAO. После появления новости BONK подешевел примерно на 9% на фоне обсуждений в сети Solana.

Подобные ситуации вызывают опасения у разработчиков DAO, ведь система сработала строго по заложенной логике. Управление сработало так, как и должно. Далее мы рассмотрим, как был получен контроль над голосованием, почему математические расчёты сработали в пользу злоумышленника, и к каким рискам приводит голосование с весом, зависящим от количества токенов.

Как казначейство BonkDAO было опустошено одним голосованием

BONK — это мем-токен, ставший своеобразным символом сети Solana. BonkDAO — это сообщество, управляющее казначейством через ончейн-голосования. Участники держат токены BONK, публикуют предложения, а держатели выбирают, поддерживать ли инициативу. Чем больше токенов у участника, тем больше вес его голоса. Именно этот момент и определил ход событий.

Перед голосованием злоумышленник через централизованные биржи приобрёл BONK примерно на $4,4 млн, что составило чуть более 1% от оборотного предложения токена. На первый взгляд, 1% от meme-токена — незначительная сумма. Но при низкой явке на голосовании этого оказалось достаточно для получения доминирующей роли.

Предложение носило название "BIP #76 - Sowellian BonkDAO". На первый взгляд, оно казалось обычной управленческой инициативой. Однако в деталях содержалась инструкция о переводе 4,43 трлн BONK из казначейства на кошелёк, контролируемый злоумышленником. Большинство участников не читали детали предложения, а еще больше — вовсе не голосовали.

В результате, после завершения периода голосования, BIP #76 было одобрено с поддержкой в 99,9% — однако за него проголосовало всего 7 кошельков. Более 18 000 членов BonkDAO не приняли участия, итоговая явка составила лишь 2,9%. Злоумышленник не убедил сообщество своими доводами — он просто стал самым активным участником при низкой активности остальных.

Математика покупки большинства при управлении

Модель управления, основанная на количестве токенов, строится на двух параметрах. Кворум — минимальный объём голосующих, необходимый для признания результатов. Итог голосования определяет направление распределения этого веса. Участник, контролирующий оба параметра, получает контроль над исходом. BIP #76 прошёл кворум с одним из самых малых перевесов за всю историю атак на казначейства.

Предложение едва превысило необходимый порог: за инициативу было отдано 882,38 млрд BONK при необходимом кворуме 879,95 млрд BONK — разрыв менее чем в полпроцента. Для успешной атаки не требовалось большого количества средств — достаточно было приобрести минимальный необходимый объём токенов, чтобы превысить порог на фоне низкой активности.

Метрика голосования Значение Что показывает
Стоимость покупки 1% BONK ~$4,4 млн Цена временного большинства
Кошельков, проголосовавших "за" 7 Насколько мало участников определили исход
Процент одобрения 99,9% Отсутствие организованной оппозиции
Явка 2,9% Более 18 000 участников остались пассивны
Голоса "за" против кворума 882,38 млрд против 879,95 млрд BONK Превышение необходимого порога с минимальным запасом
Выведено из казначейства 4,43 трлн BONK (~$20 млн) Выплата, скрытая в деталях предложения

Экономика делает подобные атаки особенно опасными. Злоумышленник потратил около $4,4 млн, чтобы вывести почти $20 млн — соотношение более чем четыре к одному (без учёта воздействия на рынок при продаже). Если стоимость покупки большинства меньше размера казначейства, атака окупается автоматически.

Что такое атака на управление

Атака на управление — это не классический взлом. Здесь не используется уязвимость или обход защиты. Злоумышленник приобретает легитимный объём голосующих токенов и инициирует принятие решения, приводящего к выводу средств, используя правила протокола. В экосистеме DeFi это одна из наиболее сложных угроз, ведь внешне эксплойт и ожидаемое поведение не отличаются для смарт-контракта.

Схема подобной атаки известна почти с момента появления DAO. В 2016 году оригинальный DAO на Ethereum был взломан через ошибку повторного входа, что привело к потере трети средств и необходимости проведения хардфорка. Крах The DAO стал итогом эксплуатации кода. BIP #76 — современный аналог, возможно, даже более опасный, так как баг был не нужен вообще.

BonkDAO стал целью из-за трёх факторов — и все они актуальны для многих современных протоколов:

Низкая явка облегчает атаку. При явке в 2,9% злоумышленнику достаточно превысить вес активного меньшинства. Пассивность — главная уязвимость, а не программный код.

Голосующий вес можно купить на рынке. Голосование пропорционально объёму токенов, поэтому любой капитал может быть конвертирован во временное большинство. Злоумышленник приобрёл 1% предложения через публичные биржи, не имея инсайдерских преимуществ.

Порог кворума можно обойти. Фиксированный кворум, эффективный при высокой активности, становится легко достижимым при падении явки. BIP #76 преодолел порог в 879,95 млрд BONK с минимальным перевесом.

Поэтому подобные сценарии повторяются и в других протоколах. Общая тенденция DeFi-эксплойтов в 2026 году — злоумышленники всё чаще атакуют именно механизмы управления и экономическую архитектуру, а не программный код: человеческий фактор оказывается слабее криптографии. Сам формат meme-токена BONK — большой, разрозненный и в основном пассивный пул держателей — идеально подходит для подобных атак.

Реакция BonkDAO и Solana

BonkDAO оперативно признал атаку и приступил к ликвидации последствий. В официальном заявлении в аккаунте X проекта команда отметила, что уже выявила адреса кошельков, через которые злоумышленник приобретал токены перед голосованием, и координирует действия с биржами, операторами мостов и Фондом Solana для отслеживания и, если возможно, заморозки украденных средств.

Этот ответ важен, потому что главная проблема злоумышленника теперь — ликвидность. На бумаге украденные BONK оцениваются в $20 млн, но превращение 4,43 трлн токенов в реальные активы требует отправки их на централизованные биржи или межсетевые мосты — именно за этими точками BonkDAO тщательно следит. Если адреса будут заблокированы, значительная часть казначейства может остаться недоступной.

Рынок отреагировал быстро, но без паники. Падение BONK на 9% отразило реакцию на атаку и опасения по поводу возможной распродажи, но распродажа осталась локальной для самого токена. Следить за ценой можно с помощью актуальных данных по BONK, а оценить общее состояние экосистемы — через метрики DeFi в сети Solana на DefiLlama.

Наиболее спорный вопрос — философский. Сообщество разделилось: одни считают BIP #76 обычной кражей, замаскированной под голосование, другие полагают, что злоумышленник действовал в рамках правил — купил токены, проголосовал, инициатива прошла. Подобная ситуация рассматривается не как преступление, а как проверка принципа "код — есть закон" и указывает на недостатки архитектуры управления, где временное большинство можно купить за относительно небольшие средства.

Часто задаваемые вопросы

Что такое атака на управление?

Это ситуация, когда кто-то получает контрольный пакет голосов в DAO для принятия инициативы в собственных интересах, используя официальные процедуры, а не баги или эксплойты. В случае BonkDAO злоумышленник купил BONK на рынке, набрал необходимый кворум при низкой явке и инициировал перевод средств на свой кошелёк.

Почему для атаки хватило 1% токенов BONK?

Потому что явка составила всего 2,9%, и злоумышленнику достаточно было превысить вес активного меньшинства. Купив чуть больше 1% предложения примерно за $4,4 млн, он получил 99,9% голосов и минимальным перевесом преодолел порог в 879,95 млрд BONK.

Можно ли считать атаку на BonkDAO взломом в техническом смысле?

С точки зрения информационной безопасности — нет. Не было найдено уязвимостей, кражи ключей или взлома серверов. Смарт-контракты сработали строго по коду, что делает защиту от подобных атак особенно сложной и почему часть экспертов считает это эксплуатацией правил, а не воровством.

Могут ли другие DAO столкнуться с аналогичной проблемой?

Да, именно это вызывает опасения. Любой DAO с голосованием по количеству токенов, низкой явкой и невысоким кворумом подвержен риску. Защиту усиливают отложенные исполнения решений (time-lock), делегирование голосов, кворум, зависящий от активного предложения, и ручная проверка переводов из казначейства.

Основные выводы

Случай с BonkDAO — предупреждение о рисках экономической архитектуры. Злоумышленник превратил $4,4 млн в $20 млн за счёт фиксированного кворума и низкой активности (2,9%), которые позволили купить большинство дешевле объёма казначейства. На данный момент важны три вопроса: смогут ли BonkDAO и партнёры заморозить идентифицированные кошельки до вывода 4,43 трлн BONK; ужесточат ли другие проекты Solana пороги кворума; сохранит ли BONK ценовой уровень после атаки. Для каждого протокола с голосованием по токенам урок прост: если сообщество не голосует, кто-то сделает это за него.

Данный материал представлен исключительно в информационных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой сопряжена со значительным риском. Перед принятием торговых решений всегда проводите собственное исследование.

Зарегистрируйтесь и получите 15000 USDT
Отказ от ответственности
This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our Условиями использования and Раскрытием рисков

Похожие статьи

Muse Image от Meta: запуск ИИ-модели и влияние на акции META

Muse Image от Meta: запуск ИИ-модели и влияние на акции META

Аналитика Рынка
2026-07-08
Почему акции Intel падают: задержка 18A и рост AMD в дата-центрах

Почему акции Intel падают: задержка 18A и рост AMD в дата-центрах

Аналитика Рынка
2026-07-08
Цена XRP и что значит полный MiCA-лицензия Ripple для Европы

Цена XRP и что значит полный MiCA-лицензия Ripple для Европы

Аналитика Рынка
2026-07-07
Strategy реализует крупнейшую продажу биткоинов для выплаты дивидендов по привилегированным акциям

Strategy реализует крупнейшую продажу биткоинов для выплаты дивидендов по привилегированным акциям

Аналитика Рынка
2026-07-07
Акции AMD выросли после повышения целевой цены Goldman Sachs до $640

Акции AMD выросли после повышения целевой цены Goldman Sachs до $640

Аналитика Рынка
2026-07-07
Рост акций Tesla после рекордного II квартала и запуска роботакси в Майами

Рост акций Tesla после рекордного II квартала и запуска роботакси в Майами

Аналитика Рынка
2026-07-07