Były dyrektor techniczny Ripple, David Schwartz, powiedział, że wyprowadzenie 20 milionów dolarów ze skarbca BONK DAO może być traktowane jako oszustwo korporacyjne, mimo że atakujący wykorzystał system zarządzania on-chain projektu do zatwierdzenia transferu.
Atak koncentrował się na złośliwej propozycji zarządzania, która przeniosła około 4,42 biliona tokenów BONK ze skarbca DAO do portfela kontrolowanego przez atakującego. Transfer nastąpił po głosowaniu o niskiej frekwencji, w którym atakujący wykorzystał tymczasową większość głosów, aby przeforsować propozycję.

BONK, memecoin oparty na Solanie, spadł o około 7% po incydencie. BONK DAO określiło to zdarzenie jako złośliwą propozycję zarządzania i poinformowało, że współpracuje z giełdami, mostami oraz Fundacją Solana.
Atak rozpoczął się, gdy anonimowy portfel przedłożył propozycję BIP #76, która zawierała instrukcję przelania tokenów BONK ze skarbca do portfela atakującego. Aby propozycja przeszła, potrzebne były głosy „za” równe 1% podaży BONK.
Zgodnie z analizą on-chain przytoczoną w raportach, atakujący wydał około 4,4 miliona dolarów na zakup BONK za pośrednictwem giełd, w tym Binance i Bybit. Niektóre raporty wskazywały również, że atakujący korzystał z platform pożyczkowych DeFi, aby zwiększyć swoją siłę głosu.
Tylko siedem portfeli głosowało nad propozycją, podczas gdy ponad 18 000 członków nie wzięło udziału. Frekwencja wyniosła około 2,9%, co pozwoliło portfelowi atakującego przeforsować propozycję przy niemal jednomyślnych głosach „za”.
Głosowanie przekroczyło kworum nieznacznie, z 882,38 mld BONK popierających przy progu 879,95 mld. Po przyjęciu propozycji transfer ze skarbca został wykonany automatycznie.
David Schwartz stwierdził, że incydentu nie należy lekceważyć jako legalnego wykorzystania reguł on-chain. Argumentował, że uczestnicy DAO mogą nadal mieć obowiązki przy zarządzaniu wspólnymi aktywami.
Schwartz scharakteryzował wyprowadzenie środków jako oszustwo korporacyjne, ponieważ uczestnicy DAO mogą działać jako fiduciariusze, kontrolując wspólne fundusze skarbcowe. Jego zdaniem prawidłowe wykonanie kodu nie zwalnia z odpowiedzialności prawnej, jeśli wspólne aktywa są świadomie nadużywane.
Dodał również, że sądy stanowe generalnie nie akceptują obrony „kod jest prawem” w przypadkach przywłaszczenia aktywów. To stanowisko podważa argument, że atakujący jedynie przestrzegał zasad smart kontraktu.
Kwestia pozostaje prawnie złożona, ponieważ każdy krok transakcji odbywał się poprzez proces zarządzania projektem. Jednakże BONK DAO i firmy analityczne potraktowały to zdarzenie jako atak, a doniesienia wskazują na zaangażowanie organów ścigania.
Po przyjęciu propozycji około 20 milionów dolarów w BONK zostało przeniesionych ze skarbca DAO do portfela kontrolowanego przez atakującego. Raporty informują, że około 188 000 USD zostało później wysłanych na giełdę, prawdopodobnie w celu wypłaty gotówki.
Pozostała kwota została przeniesiona do portfela multisig, według Chainalysis. Portfel multisig wymaga więcej niż jednej aprobaty przed możliwością przesunięcia środków.
Atakujący sprzedał również BONK użyte do uzyskania kontroli nad głosowaniem. Raporty wskazują, że około 5,3 miliona dolarów wartych zakupionych BONK zostało sprzedanych po transferze ze skarbca.
Ta sekwencja działań pozostawiła atakującego z kontrolą nad tokenami wypróżnionymi ze skarbca, jednocześnie usuwając znaczną część stawki głosującej użytej do przeforsowania propozycji. Sprawa zwiększyła uwagę skierowaną na DAO polegające na głosowaniu tokenami bez silniejszych zabezpieczeń.
Incydent z BONK DAO ponownie otworzył debatę nad zarządzaniem ważonym tokenami. Skarbiec może stać się podatny na ataki, gdy tymczasowy nabywca tokenów może tanio zdobyć wystarczającą siłę głosu, aby przeforsować szkodliwą propozycję.
Atak ujawnił również ryzyka związane z niską frekwencją. Mała grupa głosujących portfeli może kontrolować kluczowe decyzje, jeśli kworum jest niskie, a zabezpieczenia słabe.
Typowe zabezpieczenia obejmują blokady czasowe, wyższe progi kworum, prawa do nagłego weta, okresy przeglądu propozycji oraz limity transferów ze skarbca. Transfer w BONK DAO został wykonany bez wystarczającego opóźnienia, które mogłoby zapobiec wyprowadzeniu środków.
Artykuł „Były CTO Ripple mówi, że wyprowadzenie środków ze skarbca BONK DAO może być oszustwem korporacyjnym” pojawił się najpierw na CoinCentral.

