
7 июля 2026 года злоумышленник вывел из казначейства BonkDAO около $20 млн в токенах BONK, не используя никаких уязвимостей в коде. Не было обнаружено ошибок в смарт-контрактах, кражи приватных ключей или фишинговых атак. Злоумышленник просто приобрёл достаточный объём токенов для получения голосующего большинства, чтобы одобрить предложение, предусматривающее перевод средств из казначейства на свой кошелёк — остальные действия выполнили правила DAO. После появления новости BONK подешевел примерно на 9% на фоне обсуждений в сети Solana.
Подобные ситуации вызывают опасения у разработчиков DAO, ведь система сработала строго по заложенной логике. Управление сработало так, как и должно. Далее мы рассмотрим, как был получен контроль над голосованием, почему математические расчёты сработали в пользу злоумышленника, и к каким рискам приводит голосование с весом, зависящим от количества токенов.
Как казначейство BonkDAO было опустошено одним голосованием
BONK — это мем-токен, ставший своеобразным символом сети Solana. BonkDAO — это сообщество, управляющее казначейством через ончейн-голосования. Участники держат токены BONK, публикуют предложения, а держатели выбирают, поддерживать ли инициативу. Чем больше токенов у участника, тем больше вес его голоса. Именно этот момент и определил ход событий.
Перед голосованием злоумышленник через централизованные биржи приобрёл BONK примерно на $4,4 млн, что составило чуть более 1% от оборотного предложения токена. На первый взгляд, 1% от meme-токена — незначительная сумма. Но при низкой явке на голосовании этого оказалось достаточно для получения доминирующей роли.
Предложение носило название "BIP #76 - Sowellian BonkDAO". На первый взгляд, оно казалось обычной управленческой инициативой. Однако в деталях содержалась инструкция о переводе 4,43 трлн BONK из казначейства на кошелёк, контролируемый злоумышленником. Большинство участников не читали детали предложения, а еще больше — вовсе не голосовали.
В результате, после завершения периода голосования, BIP #76 было одобрено с поддержкой в 99,9% — однако за него проголосовало всего 7 кошельков. Более 18 000 членов BonkDAO не приняли участия, итоговая явка составила лишь 2,9%. Злоумышленник не убедил сообщество своими доводами — он просто стал самым активным участником при низкой активности остальных.
Математика покупки большинства при управлении
Модель управления, основанная на количестве токенов, строится на двух параметрах. Кворум — минимальный объём голосующих, необходимый для признания результатов. Итог голосования определяет направление распределения этого веса. Участник, контролирующий оба параметра, получает контроль над исходом. BIP #76 прошёл кворум с одним из самых малых перевесов за всю историю атак на казначейства.
Предложение едва превысило необходимый порог: за инициативу было отдано 882,38 млрд BONK при необходимом кворуме 879,95 млрд BONK — разрыв менее чем в полпроцента. Для успешной атаки не требовалось большого количества средств — достаточно было приобрести минимальный необходимый объём токенов, чтобы превысить порог на фоне низкой активности.
| Метрика голосования | Значение | Что показывает |
|---|---|---|
| Стоимость покупки 1% BONK | ~$4,4 млн | Цена временного большинства |
| Кошельков, проголосовавших "за" | 7 | Насколько мало участников определили исход |
| Процент одобрения | 99,9% | Отсутствие организованной оппозиции |
| Явка | 2,9% | Более 18 000 участников остались пассивны |
| Голоса "за" против кворума | 882,38 млрд против 879,95 млрд BONK | Превышение необходимого порога с минимальным запасом |
| Выведено из казначейства | 4,43 трлн BONK (~$20 млн) | Выплата, скрытая в деталях предложения |
Экономика делает подобные атаки особенно опасными. Злоумышленник потратил около $4,4 млн, чтобы вывести почти $20 млн — соотношение более чем четыре к одному (без учёта воздействия на рынок при продаже). Если стоимость покупки большинства меньше размера казначейства, атака окупается автоматически.
Что такое атака на управление
Атака на управление — это не классический взлом. Здесь не используется уязвимость или обход защиты. Злоумышленник приобретает легитимный объём голосующих токенов и инициирует принятие решения, приводящего к выводу средств, используя правила протокола. В экосистеме DeFi это одна из наиболее сложных угроз, ведь внешне эксплойт и ожидаемое поведение не отличаются для смарт-контракта.
Схема подобной атаки известна почти с момента появления DAO. В 2016 году оригинальный DAO на Ethereum был взломан через ошибку повторного входа, что привело к потере трети средств и необходимости проведения хардфорка. Крах The DAO стал итогом эксплуатации кода. BIP #76 — современный аналог, возможно, даже более опасный, так как баг был не нужен вообще.
BonkDAO стал целью из-за трёх факторов — и все они актуальны для многих современных протоколов:
Низкая явка облегчает атаку. При явке в 2,9% злоумышленнику достаточно превысить вес активного меньшинства. Пассивность — главная уязвимость, а не программный код.
Голосующий вес можно купить на рынке. Голосование пропорционально объёму токенов, поэтому любой капитал может быть конвертирован во временное большинство. Злоумышленник приобрёл 1% предложения через публичные биржи, не имея инсайдерских преимуществ.
Порог кворума можно обойти. Фиксированный кворум, эффективный при высокой активности, становится легко достижимым при падении явки. BIP #76 преодолел порог в 879,95 млрд BONK с минимальным перевесом.
Поэтому подобные сценарии повторяются и в других протоколах. Общая тенденция DeFi-эксплойтов в 2026 году — злоумышленники всё чаще атакуют именно механизмы управления и экономическую архитектуру, а не программный код: человеческий фактор оказывается слабее криптографии. Сам формат meme-токена BONK — большой, разрозненный и в основном пассивный пул держателей — идеально подходит для подобных атак.
Реакция BonkDAO и Solana
BonkDAO оперативно признал атаку и приступил к ликвидации последствий. В официальном заявлении в аккаунте X проекта команда отметила, что уже выявила адреса кошельков, через которые злоумышленник приобретал токены перед голосованием, и координирует действия с биржами, операторами мостов и Фондом Solana для отслеживания и, если возможно, заморозки украденных средств.
Этот ответ важен, потому что главная проблема злоумышленника теперь — ликвидность. На бумаге украденные BONK оцениваются в $20 млн, но превращение 4,43 трлн токенов в реальные активы требует отправки их на централизованные биржи или межсетевые мосты — именно за этими точками BonkDAO тщательно следит. Если адреса будут заблокированы, значительная часть казначейства может остаться недоступной.
Рынок отреагировал быстро, но без паники. Падение BONK на 9% отразило реакцию на атаку и опасения по поводу возможной распродажи, но распродажа осталась локальной для самого токена. Следить за ценой можно с помощью актуальных данных по BONK, а оценить общее состояние экосистемы — через метрики DeFi в сети Solana на DefiLlama.
Наиболее спорный вопрос — философский. Сообщество разделилось: одни считают BIP #76 обычной кражей, замаскированной под голосование, другие полагают, что злоумышленник действовал в рамках правил — купил токены, проголосовал, инициатива прошла. Подобная ситуация рассматривается не как преступление, а как проверка принципа "код — есть закон" и указывает на недостатки архитектуры управления, где временное большинство можно купить за относительно небольшие средства.
Часто задаваемые вопросы
Что такое атака на управление?
Это ситуация, когда кто-то получает контрольный пакет голосов в DAO для принятия инициативы в собственных интересах, используя официальные процедуры, а не баги или эксплойты. В случае BonkDAO злоумышленник купил BONK на рынке, набрал необходимый кворум при низкой явке и инициировал перевод средств на свой кошелёк.
Почему для атаки хватило 1% токенов BONK?
Потому что явка составила всего 2,9%, и злоумышленнику достаточно было превысить вес активного меньшинства. Купив чуть больше 1% предложения примерно за $4,4 млн, он получил 99,9% голосов и минимальным перевесом преодолел порог в 879,95 млрд BONK.
Можно ли считать атаку на BonkDAO взломом в техническом смысле?
С точки зрения информационной безопасности — нет. Не было найдено уязвимостей, кражи ключей или взлома серверов. Смарт-контракты сработали строго по коду, что делает защиту от подобных атак особенно сложной и почему часть экспертов считает это эксплуатацией правил, а не воровством.
Могут ли другие DAO столкнуться с аналогичной проблемой?
Да, именно это вызывает опасения. Любой DAO с голосованием по количеству токенов, низкой явкой и невысоким кворумом подвержен риску. Защиту усиливают отложенные исполнения решений (time-lock), делегирование голосов, кворум, зависящий от активного предложения, и ручная проверка переводов из казначейства.
Основные выводы
Случай с BonkDAO — предупреждение о рисках экономической архитектуры. Злоумышленник превратил $4,4 млн в $20 млн за счёт фиксированного кворума и низкой активности (2,9%), которые позволили купить большинство дешевле объёма казначейства. На данный момент важны три вопроса: смогут ли BonkDAO и партнёры заморозить идентифицированные кошельки до вывода 4,43 трлн BONK; ужесточат ли другие проекты Solana пороги кворума; сохранит ли BONK ценовой уровень после атаки. Для каждого протокола с голосованием по токенам урок прост: если сообщество не голосует, кто-то сделает это за него.
Данный материал представлен исключительно в информационных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой сопряжена со значительным риском. Перед принятием торговых решений всегда проводите собственное исследование.






