BonkDAO a pierdut 20 de milioane de dolari după un vot cumpărat chiar de atacator

BonkDAO a pierdut 20 de milioane de dolari după un vot cumpărat chiar de atacator

0 Shares
0
0
0

Cineva a intrat în trezoreria BonkDAO fără să spargă nimic. Nu a exploatat vreo eroare de cod, nu a furat chei private, nu a păcălit vreun angajat cu un e-mail fals. A cumpărat, pur și simplu, dreptul de a vota. Apoi a votat să își trimită singur banii comunității.

Luni, 6 iulie 2026, organizația descentralizată care administrează ecosistemul memecoinului BONK de pe Solana a confirmat că aproximativ 20 de milioane de dolari, adică 4.400 de miliarde de tokeni BONK, au părăsit trezoreria în urma unei propuneri de guvernanță pe care echipa a descris-o drept malignă.

Formularea aleasă de BonkDAO sună aproape birocratic, dar realitatea din spatele ei este una dintre cele mai incomode lecții pe care le-a primit industria crypto în ultimii ani. Atacatorul nu a încălcat regulile. Le-a citit cu atenție, a observat cât de prost erau calibrate și le-a folosit exact așa cum fuseseră scrise. Fiecare pas al operațiunii, de la achiziția tokenilor până la transferul final, a fost o tranzacție perfect validă pe blockchain. Tocmai de aceea cazul stârnește o dezbatere care depășește cu mult povestea unui singur memecoin.

Concluzia care se desprinde din datele on-chain este simplă și incomodă în același timp. Întreaga operațiune a costat în jur de 4,4 milioane de dolari și a produs 20 de milioane. Un raport de unu la cinci între investiție și pradă transformă orice trezorerie prost apărată dintr-o victimă potențială într-o țintă perfect rațională, iar atacatorii de acest tip nu au nevoie de talent tehnic, ci doar de capital și de răbdare.

Un jaf executat la vedere, cu instrumentele casei

BONK a apărut pe Solana la finalul lui 2022, printr-o distribuție gratuită către comunitate, într-un moment în care rețeaua avea nevoie disperată de un motiv de optimism după prăbușirea FTX.

Proiectul a crescut spectaculos, a atins la un moment dat o capitalizare de peste 4 miliarde de dolari și a rămas, chiar și după corecțiile dure din ultimul an, al treilea memecoin ca mărime din ecosistemul Solana.

BonkDAO este organizația autonomă descentralizată care gestionează o parte din resursele acestui ecosistem. Într-un DAO, deciziile nu le ia o companie sau un consiliu de administrație, ci deținătorii de tokeni, prin vot. Oricine acumulează suficienti tokeni poate depune o propunere, iar dacă propunerea trece de vot, ea se execută automat pe blockchain, fără să mai fie nevoie de semnătura vreunui om. Ideea sună frumos în teorie. Puterea aparține comunității, nimeni nu poate bloca voința majorității, totul rămâne transparent.

Problema apare atunci când majoritatea nu vine la vot. Iar la BonkDAO, majoritatea nu venea aproape niciodată. Propunerea care a golit trezoreria a fost votată de doar șapte portofele, în timp ce peste 18.000 de membri ai organizației au stat deoparte. Prezența la vot a fost de 2,9 la sută. În acest gol de participare, un singur actor cu suficienți bani a devenit, pentru câteva ore, întreaga democrație a proiectului.

Cronologia unui atac pregătit timp de o săptămână

Reconstituirea făcută de firmele de analiză blockchain, printre care Chainalysis și Lookonchain, și detaliată de CoinDesk arată o operațiune metodică, desfășurată pe parcursul unei săptămâni întregi, sub ochii oricui s-ar fi uitat cu atenție.

Propunerea depusă în liniște

Totul a început pe 30 iunie, când un portofel anonim a depus pe platforma de guvernanță Realms, infrastructura standard pentru DAO-urile de pe Solana, o propunere intitulată „BIP #76 – Sowellian BonkDAO”. Textul ei semăna mai degrabă cu o bravadă decât cu o moțiune administrativă.

Autorul promitea reconstrucția proiectului din propria cenușă, monetizarea deținerilor și oprirea hemoragiei de valoare, iar la final strecura o momeală care avea să pară, retrospectiv, aproape ironică. Toți cei care votau „da” urmau să primească o recompensă în tokeni.

Sub ambalajul retoric, propunerea ascundea însă un mecanism cât se poate de concret. Odată aprobată, ea autoriza transferul unei cantități uriașe de BONK din trezoreria organizației către un portofel controlat de autorul ei. Nimeni nu a tras semnalul de alarmă la momentul depunerii. Era o propunere printre altele, într-un sistem în care apatia devenise regulă.

Cumpărăturile din weekend

Urma partea costisitoare. Pentru a împinge propunerea peste pragul de cvorum, atacatorul avea nevoie de putere de vot, adică de tokeni. În zilele de 4 și 5 iulie, un portofel separat a cheltuit circa 4,4 milioane de dolari pe BONK cumpărat de pe bursele Bybit și Binance, completând achizițiile, potrivit datelor Lookonchain, cu împrumuturi luate prin platforme de creditare descentralizată. Ținta era puțin peste 1 la sută din oferta totală a tokenului, exact cât cereau regulile interne ale BonkDAO.

Alegerea momentului nu pare întâmplătoare. Weekendul prelungit de 4 iulie, sărbătoare națională în Statele Unite, aduce în mod tradițional lichiditate redusă și atenție scăzută din partea echipelor și a comunităților. Cumpărăturile masive au trecut neobservate sau, cel puțin, neinterpretate corect.

Votul în care atacatorul și-a spus singur da

Luni, 6 iulie, votul s-a închis. Propunerea a trecut cu 882,38 miliarde de tokeni BONK exprimați în favoarea ei, față de un prag de cvorum de 879,95 miliarde. Diferența este atât de mică încât spune totul despre precizia calculului. Atacatorul a cumpărat aproape exact cât îi trebuia, nici mai mult, nici mai puțin. Rezultatul final, 99,9 la sută voturi pentru, descrie de fapt un singur votant care a fost de acord cu el însuși.

Execuția a fost automată, așa cum promite arhitectura oricărui DAO. Cele 4.400 de miliarde de BONK, echivalentul a circa 20 de milioane de dolari la cursul momentului, au plecat din trezorerie către portofelul atacatorului. Câteva ore mai târziu, analiștii on-chain observau deja primele tranșe îndreptându-se spre burse centralizate, semn că urma tentativa de lichidare.

Pragul de 1 la sută care a costat 20 de milioane

Reacția specialiștilor în securitate a fost aproape unanimă, iar tonul ei nu a menajat pe nimeni. Problema nu a fost ingeniozitatea atacatorului, ci configurația aleasă de proiect. Un prag de doar 1 la sută din ofertă pentru a crea și a împinge o propunere care poate muta bani direct din trezorerie este, în termenii unui analist citat de presa internațională, o alegere de-a dreptul naivă pentru un proiect cu vechimea și dimensiunea BONK.

Criticile au vizat trei absențe concrete. Prima, lipsa unui mecanism de întârziere, așa-numitul timelock, care ar fi introdus o fereastră de câteva zile între aprobarea unei propuneri și execuția ei, timp în care comunitatea ar fi putut observa anomalia și reacționa. A doua, absența unei aprobări suplimentare pentru transferurile directe din trezorerie, fie printr-o semnătură multiplă, fie printr-un consiliu de securitate cu drept de veto. A treia, un cvorum calibrat pentru o participare care nu mai exista de mult în realitate.

Taylor Monahan, una dintre cele mai respectate cercetătoare de securitate din Web3, a dus discuția un pas mai departe. Pentru ea, incidentul nu este doar o eroare de configurare, ci simptomul unei probleme de fond a întregului model DAO. Ideea de a stimula democrația cu orice preț, inclusiv cu prețul securității fondurilor, i se pare o construcție găunoasă atunci când participarea reală este aproape nulă, iar votul poate fi cumpărat de pe piață ca orice altă marfă.

Argumentul are o greutate matematică greu de contestat. O trezorerie guvernată prin vot ponderat de tokeni valorează, din perspectiva unui atacator, exact diferența dintre costul cumpărării majorității temporare și suma pe care o poate extrage. La BonkDAO, această diferență a depășit 15 milioane de dolari. Atâta timp cât ecuația rămâne pozitivă, atacul nu este o anomalie, ci o consecință logică.

Furt sau folosire abuzivă a regulilor jocului

Aici discuția devine cu adevărat spinoasă. BonkDAO a anunțat că a sesizat organele de aplicare a legii și că lucrează cu bursele, cu operatorii de punți între blockchainuri și cu Solana Foundation pentru a îngheța fondurile și a identifica autorii. Comunicatul oficial vorbește fără echivoc despre un atac și despre recuperarea banilor.

O parte a comunității crypto vede însă lucrurile diferit. Din perspectiva puriștilor, atacatorul nu a spart nimic. A cumpărat tokeni pe piața liberă, a depus o propunere conform regulilor, a votat cu puterea pe care regulile i-o confereau și a încasat rezultatul unui vot valid. Codul este lege, sună vechiul principiu al spațiului descentralizat, iar dacă legea era prost scrisă, vina aparține celor care au scris-o. Implicarea poliției într-o dispută despre reguli de guvernanță internă li se pare unora dintre acești observatori un gest de neputință, poate chiar o trădare a ideii de descentralizare.

Precedentele juridice complică și mai mult tabloul. Avraham Eisenberg, autorul atacului din 2022 asupra platformei Mango Markets, a susținut public exact această apărare, descriindu-și operațiunea drept o strategie de tranzacționare extrem de profitabilă, dar legală. Justiția americană nu a fost convinsă, iar Eisenberg a fost condamnat pentru fraudă. Mesajul instanțelor a fost limpede. Faptul că un sistem informatic permite o acțiune nu o face automat legitimă, la fel cum o ușă lăsată descuiată nu transformă furtul în vizită.

Între timp, consecințele practice s-au văzut rapid. Bursele sud-coreene Upbit și Bithumb au suspendat depunerile și retragerile de BONK pentru a verifica proveniența tokenilor care soseau în conturi, iar echipele de conformitate ale marilor platforme au primit listele de adrese marcate de analiștii on-chain. Pentru atacator, transformarea celor 4.400 de miliarde de BONK în bani curați se anunță mult mai complicată decât obținerea lor.

Piața a taxat imediat greșeala de configurare

Prețul BONK a reacționat așa cum reacționează de obicei piețele la veștile despre trezorerii golite. Tokenul a pierdut aproximativ 10 la sută în orele de după confirmarea atacului, coborând spre 0,0000044 dolari și apropiindu-se periculos de minimul intervalului din iunie, situat la 0,0000040 dolari, un nivel care coincide cu punctul cel mai de jos atins la prăbușirea din octombrie anul trecut.

Contextul mai larg nu ajută deloc. BONK venea deja după un an dificil, cu o scădere de circa 40 de procente de la începutul lui 2026 și de aproximativ 80 de procente față de acum douăsprezece luni. Capitalizarea de piață, care depășea 4 miliarde de dolari în perioada de glorie, s-a comprimat sub 400 de milioane. Pentru un activ aflat într-o poziție tehnică atât de fragilă, un șoc de încredere de dimensiunea unui atac asupra trezoreriei poate face diferența dintre o consolidare și o nouă prăbușire.

Din iunie încoace, cumpărătorii au apărat cu încăpățânare pragul de 0,0000040 dolari. Întrebarea la care nimeni nu are încă un răspuns este dacă acea apărare rezistă și după ce piața digeră complet dimensiunea breșei. Dacă sentimentul general al pieței crypto se deteriorează în trimestrul al treilea, iar presiunea de vânzare venită dinspre tokenii furați se adaugă la ecuație, BONK riscă un nou minim anual.

Balenele nu au fugit, cel puțin deocamdată

Partea cu adevărat surprinzătoare vine din zona marilor deținători. Conform cifrelor Santiment, citate de AMBCrypto, doar două portofele din categoria balenelor uriașe, cele cu peste 1.000 de miliarde de BONK, și-au redus expunerea după anunțul atacului. Restul au stat pe loc. Mai mult, categoria mai largă a portofelelor cu peste 10 milioane de BONK acumulează constant încă de la jumătatea lunii iunie, iar exploit-ul nu pare să fi întrerupt acest tipar.

Comportamentul banilor mari rămâne unul dintre cele mai urmărite semnale din piețele crypto, iar logica lui merită citită cu atenție și cu o doză de scepticism. Un tipar asemănător a apărut de curând și pe piața Bitcoin, unde balenele au acumulat monede de 16,7 miliarde de dolari exact în perioada în care investitorii instituționali își reduceau pozițiile. Acumularea nu garantează nimic, dar spune ceva despre percepția riscului. Cine cumpără după un atac de 20 de milioane de dolari pariază, în esență, că prejudiciul este deja reflectat în preț și că proiectul supraviețuiește loviturii.

Dacă acumularea continuă, intervalul de preț din iunie ar putea rezista și de această dată. Dacă se oprește, suportul de la 0,0000040 dolari rămâne singura linie de apărare înainte de teritorii neexplorate.

Guvernanța on-chain are deja un istoric dureros

Atacul asupra BonkDAO nu inventează nimic. El repetă, cu mijloace actualizate, o schemă pe care industria o cunoaște de ani buni și pe care, cu o regularitate deprimantă, refuză să o ia în serios.

Cazul clasic rămâne Beanstalk, protocolul de stablecoin de pe Ethereum golit în aprilie 2022 de 182 de milioane de dolari. Atunci, atacatorul nici măcar nu a cheltuit bani proprii pe voturi. A împrumutat instantaneu, printr-un flash loan, o cantitate colosală de tokeni de guvernanță, a votat o propunere care îi trimitea fondurile, a rambursat împrumutul și a plecat cu diferența, totul în interiorul unei singure tranzacții. Beanstalk nu avea timelock. Sună cunoscut.

A urmat episodul Tornado Cash din 2023, în care un atacator a păcălit comunitatea să aprobe o propunere ce conținea cod ascuns, oferindu-i controlul total asupra guvernanței. Apoi tentativa asupra Compound din 2024, unde un grup de deținători coordonați, autointitulați Golden Boys, a împins la limită o propunere controversată profitând de aceeași apatie a votanților. De fiecare dată, concluziile au fost identice. Participare scăzută, praguri permisive, execuție automată fără nicio plasă de siguranță.

Anul 2026 a adăugat un context și mai sumbru. Primul semestru a stabilit un record istoric al fondurilor furate din ecosistemul crypto, cu peste 200 de incidente consemnate de firmele de securitate, iar tiparul dominant s-a mutat dinspre vulnerabilitățile de cod spre eșecurile operaționale și de proces. Lista episoadelor recente vorbește de la sine, de la atacul de 10 milioane de dolari asupra THORChain, care a declanșat un răspuns de urgență la nivelul întregii rețele, până la golirea Gravity Bridge de 5,4 milioane de dolari după furtul unei chei de semnătură. Nici zona aplicațiilor pentru utilizatori nu a fost ocolită, după cum a arătat atacul asupra interfeței Polymarket, soldat cu pierderi de 3 milioane de dolari, iar în piața stablecoinurilor, prăbușirea cu 80 la sută a tokenului USR de la Resolv Labs a demonstrat cât de repede se evaporă încrederea după un exploit. BonkDAO se așază acum pe o listă care se lungește de la o lună la alta.

Diferența față de cazurile de mai sus, și tocmai de aceea povestea BONK doare mai tare, este că aici nu a existat nicio componentă tehnică sofisticată. Niciun cod ascuns, nicio cheie furată, niciun malware de tipul celor care golesc portofelele dezvoltatorilor, precum virusul TrapDoor. Doar o regulă proastă, lăsată nesupravegheată, și cineva dispus să plătească pentru a o folosi.

Ce se poate repara și cât costă repararea

Soluțiile tehnice există și sunt bine cunoscute, ceea ce face situația cu atât mai frustrantă. Un timelock de 48 sau 72 de ore pe orice propunere care atinge trezoreria ar fi oprit atacul asupra BonkDAO încă din prima zi, pentru că mișcarea de 4,4 milioane de dolari în tokeni ar fi devenit vizibilă cu mult înainte de execuție. Un consiliu de securitate cu drept de veto asupra transferurilor directe, un prag de cvorum indexat la participarea reală, separarea trezoreriei în compartimente cu niveluri diferite de protecție sau delegarea voturilor către custozi activi sunt, la rândul lor, mecanisme testate, folosite deja de protocoalele mari.

Fiecare dintre aceste soluții costă însă ceva ce comunitățile crypto prețuiesc enorm, adică viteză și puritate ideologică. Un timelock înseamnă că nici propunerile legitime nu se mai execută instantaneu. Un consiliu de veto înseamnă că un grup restrâns capătă putere asupra voinței exprimate prin vot, ceea ce contrazice chiar rațiunea de a exista a unui DAO. Fiecare strat de protecție reintroduce, pe ușa din spate, exact centralizarea pe care descentralizarea promitea să o elimine.

Aici se află miezul dezbaterii pe care atacul de 20 de milioane de dolari a redeschis-o. Guvernanța on-chain a fost prezentată, în anii ei de glorie, drept viitorul organizării comunitare, o formă de democrație digitală pură, incoruptibilă, automată. Cazul BonkDAO arată prețul acestei purități atunci când ea nu este însoțită de inginerie defensivă. O democrație în care votul se cumpără de pe bursă cu cardul, iar alegătorii nu se prezintă, nu mai este democrație. Este o licitație cu un singur participant.

Pentru deținătorii de BONK, săptămânile următoare vor răspunde la întrebări foarte concrete. Câți dintre tokenii furați pot fi înghețați și recuperați. Dacă suportul tehnic de la 0,0000040 dolari rezistă presiunii. Dacă balenele continuă să acumuleze sau își pierd răbdarea. Pentru restul industriei, întrebarea este mai veche și mai grea.

Câte trezorerii mai funcționează, chiar acum, cu aceleași praguri permisive și cu aceeași prezență la vot de sub 3 la sută, așteptând doar un cumpărător suficient de calculat. Judecând după istoricul ultimilor patru ani, răspunsul nu are cum să fie liniștitor, iar următorul vot cumpărat s-ar putea număra deja.

Intrebari Frecvente(FAQ)

Ce s-a întâmplat cu trezoreria BonkDAO?

Pe 6 iulie 2026, o propunere de guvernanță malignă a autorizat transferul automat a aproximativ 4.400 de miliarde de tokeni BONK, în valoare de circa 20 de milioane de dolari, din trezoreria BonkDAO către un portofel controlat de atacator. Nu a fost exploatată nicio vulnerabilitate de cod, ci mecanismul de vot al organizației.

Cum a reușit atacatorul să treacă propunerea?

A cumpărat, în zilele de 4 și 5 iulie, tokeni BONK în valoare de aproximativ 4,4 milioane de dolari de pe Bybit și Binance, completând cu împrumuturi din DeFi, până a controlat puțin peste 1% din oferta totală. Acest procent i-a fost suficient pentru a atinge cvorumul, într-un vot la care s-au prezentat doar 7 portofele dintr-o comunitate de peste 18.000 de membri.

Este acest incident un furt sau o folosire legală a regulilor?

BonkDAO și firmele de analiză îl tratează drept atac, iar autoritățile au fost sesizate. O parte a comunității susține că fiecare pas a fost o tranzacție validă conform regulilor DAO-ului. Precedentul Mango Markets, în care Avraham Eisenberg a fost condamnat pentru fraudă după o apărare similară, sugerează că instanțele nu acceptă argumentul „codul este lege”.

Ce s-a întâmplat cu prețul BONK după atac?

Tokenul a scăzut cu aproximativ 10%, spre 0,0000044 dolari, apropiindu-se de minimul intervalului din iunie, situat la 0,0000040 dolari. BONK era deja în scădere cu circa 40% de la începutul anului 2026.

Balenele au vândut BONK după exploit?

Datele Santiment arată că doar două portofele cu peste 1.000 de miliarde de BONK și-au redus expunerea. Portofelele cu peste 10 milioane de BONK au continuat acumularea începută la jumătatea lunii iunie, iar atacul nu a întrerupt vizibil acest tipar.

Cum pot fi prevenite atacurile de guvernanță asupra DAO-urilor?

Prin mecanisme de tip timelock, care întârzie execuția propunerilor sensibile cu 48–72 de ore, prin aprobări multiple sau consilii de securitate cu drept de veto pentru transferurile din trezorerie și prin praguri de cvorum calibrate la participarea reală a comunității.

0 Shares
You May Also Like