
7 Temmuz 2026 tarihinde, bir saldırgan BonkDAO hazinesinden yaklaşık 20 milyon dolar değerinde BONK çekti ve bu işlemi herhangi bir güvenlik açığı bulunan kod satırına dokunmadan gerçekleştirdi. Akıllı kontrat hatası, anahtar hırsızlığı ya da phishing bağlantısı olmadı. Saldırgan, hazinenin kendisine ödeme yapmasını belirten bir teklifi geçirmek için yeterli oy gücünü satın aldı ve DAO'nun kuralları otomatik olarak işledi. Haberin Solana ağına yayılmasıyla BONK değeri yaklaşık %9 düştü.
Bu tür saldırılar, DAO geliştiricilerinin en çok endişelendiği senaryolardan biri, çünkü sistem tam da tasarlandığı gibi çalıştı. Yönetim mekanizması amacına uygun şekilde işledi. Aşağıda, oylamanın nasıl ele geçirildiği, matematiğin neden saldırgan lehine işlediği ve token ağırlıklı oylamanın hâlâ neden riskli olduğu açıklanmaktadır.
BonkDAO Hazinesi Nasıl Tek Bir Oylama ile Boşaltıldı?
BONK, Solana ekosisteminin maskotu haline gelen bir memecoin'dir ve BonkDAO, hazinesini zincir üstü teklifler yoluyla yöneten topluluk yapısıdır. Üyeler BONK tutar, teklifler yayınlanır ve token sahipleri evet ya da hayır oyu kullanır. Elinizde ne kadar çok token varsa, oyunuzun ağırlığı o kadar fazla olur. Son detay, bu hikâyenin özüdür.
Oylamadan önce, saldırgan birkaç merkezi borsa üzerinden hareket ederek yaklaşık 4,4 milyon dolar harcayarak BONK'un dolaşımdaki arzının %1'inden biraz fazlasını topladı. Yüzeyde, bir memecoin'in %1'i önemsiz gibi görünse de, düşük katılımlı bir DAO oylamasında bu oran, odadaki en güçlü ses olmaya yetti.
Teklifin başlığı "BIP #76 - Sowellian BonkDAO" idi. Yüzeyde sıradan bir yönetim işlemi gibi görünüyordu. Ancak detaylarda, 4,43 trilyon BONK'un hazineden saldırganın kontrol ettiği bir cüzdana aktarılması talimatı yer alıyordu. Çoğu üye bu kadar derine okumadı ve çoğu hiç oy kullanmadı.
Oylama penceresi kapandığında, BIP #76 %99,9 destekle geçti. Bu onay sadece 7 cüzdandan geldi. 18.000'den fazla BonkDAO üyesi oy kullanmadı ve toplam katılım %2,9 ile sınırlı kaldı. Saldırgan topluluğu ikna etmedi; sadece boş bir odada en yüksek sesi kullandı.
Yönetim Çoğunluğunu Satın Almanın Matematiği
Token ağırlıklı yönetim iki sayıya dayanır. Kvorum, bir sonucun geçerli sayılması için gerekli minimum oy gücünü ifade eder. Oylama sonucu, bu gücün hangi yöne eğildiğini belirler. Saldırgan her ikisini de kontrol ettiğinde sonucu belirler ve BIP #76, hazine saldırılarında nadiren görülen bir farkla kvorumu geçti.
Teklif kıl payı gereken eşiği geçti. "Evet" tarafı 882,38 milyar BONK ile kvorum eşiği olan 879,95 milyar BONK'un hafifçe üstündeydi; bu fark %0,5'ten azdı. Saldırganın büyük bir çoğunluğa ihtiyacı yoktu; sadece kimsenin izlemediği bu anı değerlendirecek kadar oy gücünü satın alması yeterliydi.
| Oylama Metriği | Değer | Açıklama |
|---|---|---|
| Arzın %1'ini satın alma maliyeti | ~4,4 milyon $ | Geçici oy çoğunluğunun fiyatı |
| Evet oyu kullanan cüzdanlar | 7 | Kararı belirleyen az sayıda sahip |
| Onay oranı | %99,9 | Karşıt bir organizasyon yoktu |
| Katılım oranı | %2,9 | 18.000'den fazla üye sessiz kaldı |
| Evet oyları vs kvorum | 882,38B vs 879,95B BONK | Eşik kıl payı geçildi |
| Hazine boşaltılan miktar | 4,43 trilyon BONK (~20M $) | Detaylarda saklı transfer |
Ekonomi, bu saldırıyı tehlikeli kılan ana unsur. Saldırgan yaklaşık 4,4 milyon dolar harcayarak neredeyse 20 milyon dolar çıkardı; bu, çalınan BONK'un piyasada satış etkisi hesaba katılmadan dört katın üzerinde geri dönüş anlamına gelir. Eğer çoğunluk satın alma maliyeti hazinedeki varlıktan çok daha düşükse, saldırı kendi kendini finanse eder.
Yönetim Saldırısı Nedir?
Yönetim saldırısı, klasik anlamda bir hack değildir. Hiçbir açık kullanılmaz. Bunun yerine saldırgan, protokolden değer çekmek için yeterli yasal oy gücünü edinir ve sistemi kendi kuralları ile çalıştırır. DeFi genelinde bu tehditlere karşı savunma en zorlusudur; çünkü istismar ile beklenen davranış kod üzerinde ayırt edilemez.
Bu plan neredeyse DAO'ların kendisi kadar eskidir. 2016'da, Ethereum'daki ilk DAO, bir reentrancy (yeniden giriş) hatasıyla saldırıya uğrayıp fonların üçte birini kaybetmiş ve topluluk ikiye bölünerek bir hard fork'a yol açmıştı. The DAO'nun çöküşü bir kod açığıydı. BIP #76 ise modern bir benzeri olarak hata gerektirmeyen bir saldırı örneğidir.
BonkDAO'yu hedef haline getiren üç koşul, şu anda pek çok protokol için de geçerlidir:
Düşük katılım kapıyı açık bırakır. Sadece %2,9 katılım olduğunda, kararlı bir alıcı sadece bu küçük aktif kısmı geçmeli. Asıl açık, akıllı kontratta değil, ilgisizliktedir.
Oy gücü açık piyasada alınıp satılabilir. Yönetim ağırlığı token sahipliğine eşit olduğu için sermayesi olan herkes çoğunluğu kiralayabilir. Saldırgan, sıradan borsa alımlarıyla arzın %1'ini edindi, özel erişim gerekmedi.
Kvorum eşikleri oynanabilir. Sabit kvorum, düşük katılım dönemlerinde kolayca aşılabilir hale gelir. BIP #76, 879,95 milyar BONK'u %0,5 farkla geçti.
Bu nedenle, benzer desenler sıkça güvenlik gündeminde yer alıyor. 2026'da DeFi saldırılarında tekrar eden tema, saldırganların giderek yönetim ve ekonomik tasarıma odaklanması çünkü insan faktörü, kriptografiden daha zayıf bir katmandır. BONK'un Solana memecoin'i olarak kökeni ve özellikle launchpad kültürü ile dağıtılmış, çoğunlukla pasif bir sahip tabanına sahip olması, yönetim saldırganları için ideal zemini oluşturdu.
BonkDAO ve Solana'nın Tepkisi
BonkDAO, saldırıyı saatler içinde kamuoyuna duyurdu ve önlem aldı. Projenin resmi X hesabında yapılan açıklamada, saldırganın oylamadan önce BONK satın aldığı borsa cüzdanlarının tespit edildiği, ilgili borsalar, köprü operatörleri ve Solana Vakfı ile birlikte çalınan fonların izlenip dondurulması için çalışıldığı belirtildi.
Bu müdahale kritik çünkü saldırganın büyük sorunu likidite. Çekilen BONK teoride 20 milyon $ değerinde. 4,43 trilyon token'ı kullanılabilir değere dönüştürmek için merkezi borsalara veya zincirler arası köprülere yönlendirmek gerekiyor ve buralar tam da BonkDAO'nun izlediği noktalar. Tanımlanan adreslerin engellenmesi halinde, hazinenin büyük kısmı bloke olabilir.
Piyasa tepkisi hızlı ve sınırlı oldu. BONK, %9 civarında değer kaybederek şok ve çalınan arzın piyasaya sürülmesi endişesini yansıttı, fakat bu satış dalgası tokenin ötesine pek yayılmadı. Güncel fiyat etkisi BONK'un canlı piyasa verileri üzerinden, ekosistemin genel durumu ise Solana'nın DeFi on-chain metrikleri ile izlenebilir.
Daha zor olan ise, bu olayın felsefi boyutu. Kripto topluluğu bu konuda ikiye bölünmüş durumda. Bir kesim BIP #76'yı açık bir hırsızlık olarak, organize bir baskın gibi görüyor. Diğer kesim ise, saldırganın kurallara aykırı bir şey yapmadığını savunuyor. Token aldı, oy kullandı ve teklif geçti. Bu bakış açısına göre bu bir suç değil, "kod kanundur" ilkesinin acımasız bir testiydi ve hata, geçici bir çoğunluğun cüzdanın ufak bir kısmı ile satın alınabilmesine imkân tanıyan yönetim tasarımındaydı.
Sıkça Sorulan Sorular
Yönetim saldırısı nedir?
Yönetim saldırısı, birinin bir DAO'da yeterli oy gücünü edinerek, protokol aleyhine olacak şekilde kendisi lehine bir teklif geçirmesidir. BonkDAO örneğinde saldırgan, piyasadan BONK satın alıp düşük katılımlı oylamada kvorum eşiğini geçti ve hazinedeki fonları kendi cüzdanına aktaran teklife onay verdi.
Saldırgan neden sadece %1 BONK ile kazanabildi?
Katılım sadece %2,9 olduğu için, saldırgan oy kullanan küçük kısmı geçmek zorundaydı. Yaklaşık 4,4 milyon dolar harcayarak arzın %1'inden biraz fazlasını almak, kullanılan oyların %99,9'unu kontrol etmeye ve kvorum olan 879,95 milyar BONK'u kıl payı geçmeye yetti.
BonkDAO saldırısı teknik olarak bir hack miydi?
Klasik bir ihlal tanımına uymuyor. Bir açık, çalınan anahtar veya sunucu ihlali yoktu. Akıllı kontratlar tam yazıldığı gibi çalıştı; bu nedenle yönetim saldırılarını önlemek zordur ve bazıları bunu kural istismarı olarak nitelendirir.
Diğer DAO'lar da benzer saldırıya açık mı?
Evet, bu olayın endişe verici noktası budur. Token ağırlıklı oylama, düşük katılım ve kolayca aşılabilen kvorum eşiği olan DAO'lar risk altındadır. Zaman kilitli teklifler, oy devri, aktif arz oranına bağlı kvorum ve hazine transferlerinin manuel incelenmesi gibi önlemler bu tür saldırıların maliyetini artırır.
Sonuç
BonkDAO'nun yaşadığı olay, kod kalitesinden ziyade ekonomik tasarım hakkında bir uyarıdır. Saldırgan, sabit kvorum ve %2,9 katılımla 4,4 milyon $ harcayarak 20 milyon $'lık ödemeye ulaştı. Bu noktadan sonra üç şey önemli: Birincisi, BonkDAO ve iş ortakları, saldırgan 4,43 trilyon BONK'u temiz likiditeye taşımadan tespit edilen cüzdanları dondurabilecek mi? İkincisi, diğer Solana hazineleri, aynı senaryoyu yaşamadan önce kvorum kurallarını sıkılaştıracak mı? Üçüncüsü, saldırı sonrası BONK değeri korunacak mı yoksa arz baskısı nedeniyle daha da gerileyecek mi? Token ağırlıklı oylamaya sahip tüm protokoller için bir ders: Topluluğunuz oy kullanmazsa, bir başkası onlar adına oy kullanabilir.
Bu makale yalnızca bilgilendirme amaçlıdır ve finansal ya da yatırım tavsiyesi niteliği taşımaz. Kripto para ticareti önemli riskler içerir. İşlem yapmadan önce kendi araştırmanızı yapmanız önerilir.






