2026/7/6の朝に実行されたBonkDAOガバナンス攻撃により、Solanaで最も認知されているミームコインコミュニティの一つが大打撃を受け、分散型ガバナンスが本来守るべきコミュニティに対してどのように容易に武器化されるかという厄介な問題を提起している。
2026/7/6 17:00(JST)直後、4.4兆BONKトークン以上(送金時点で約1930万ドルの価値)がBonkDAOトレジャリーウォレットから「JHvQ」で終わるアドレスに移動した。そのウォレットは、SolanaブロックエクスプローラーSolscanを通じてBybitアカウントから資金提供されていたことが特定された。同日の2026/7/7 4:30(JST)までに、トークンは再び移動され、今回は「eh42」で終わる別のSolanaアドレスに送られた。どちらのアドレスからも、他の当事者へのさらなる分配は観察されなかった。
この攻撃が特に注目すべき点は、従来の意味でのプライベートキーのハッキングやスマートコントラクトの脆弱性を必要としなかったことだ。攻撃者は完全にルールの範囲内で行動した。
BonkDAO独自のガバナンスプラットフォームを使用して提出・可決されたBonk Improvement Proposal #76が、このエクスプロイトの中心にあるメカニズムだった。「Sowellian BonkDAO」と題されたこの提案は、「Sowellianガバナンスを実装し、新しいメンバーと評議会を設置し、灰の中から再建し、保有資産を収益化し、損失を食い止める」ことを約束していた。また、インセンティブもぶら下げられた。「yes」票を投じたすべての投票者は、報酬としてBONKトークンを受け取る資格があるというものだ。
その報酬の約束が実現することはなかった。「JHvQ」ウォレットに移動したトークンは、投票者に分配されることはなかった。代わりに、数時間後に2番目のアドレスにシャッフルされた。これは、コミュニティへの約束を果たすのではなく、攻撃者が痕跡を隠そうとしていることと一致するパターンだ。
ここでのメカニズムには注意が必要だ。攻撃者は、投票前に十分なBONKを購入してガバナンス権力を獲得することで、提案をオンチェーンで合法的に可決させることができた。BonkDAOはその後、提案前にBONKの購入に使用された取引所ウォレットを特定したことを確認した。つまり、投票権の蓄積は振り返れば明らかだったが、資金の抜き取りを防ぐためにタイムリーにフラグが立てられなかったことを意味する。
主要な暗号資産取引所は迅速に動いた。韓国の取引所Upbitと米国の取引所Krakenは、この事件を受けてBONKの入出金を停止し、Upbitは「セキュリティインシデントの状況に伴うユーザー保護措置」を明示的に理由として挙げた。中央集権型プラットフォームでの活動を凍結する決定は、エクスプロイトシナリオにおける標準的な第一線の対応であり、攻撃者が盗んだトークンを現金化して清算する能力を制限する。
それが枯渇したBONKの一部を封じ込めるのに十分だったかどうかは、まだ明らかではない。取引所の凍結が発効する前に、トークンはすでに1回移動されていた。
BonkDAOはXに、法執行機関に通報し、チームが「資金を回収し、責任者を特定するために」関係者と積極的に協力していると投稿した。Bonkチームは、その一環として中央集権型取引所、ネットワークブリッジ、Solana財団と連携している。これは、オンチェーン追跡の複雑さと、資金の回収には取引所などのオフチェーン仲介業者からの協力が必要であるという現実の両方を反映した多面的なアプローチだ。
BONKは攻撃から24時間で約7%下落し、0.0000043ドル前後で取引された。この価格は、史上最高値である0.000058ドルから約93%低い。これは、かつて時価総額トップ100の暗号資産であったBONKが、このガバナンスエクスプロイトが新たな圧力を加えるずっと前から、長期的な下落傾向にあったことを思い出させる。
抜き取りの規模を考えると、直後の価格下落は比較的抑えられており、これは市場のミームコインハッキングに対するより広範な鈍感さを反映しているか、あるいは盗まれたトークンの大規模なダンピングがまだ発生していない事実を反映しているかもしれない。後者のシナリオの方がより不安だ。攻撃者が管理するウォレットにある4.4兆BONKトークンは、流動的な市場に到達した場合、かなりの潜在的な売り圧力を表している。
このエクスプロイトのメカニズムは、より広範な分散型金融スペースに対する警告のサインだ。ガバナンス攻撃(悪意のある行為者が自己に有利な提案を可決させるために特に投票権を蓄積する攻撃)は新しいものではないが、依然として過小評価されている攻撃ベクトルである。ほとんどのコミュニティガバナンスシステムはオープンでパーミッションレスになるように設計されており、それが同時にゲーム化可能にしているものでもある。
BonkDAOの場合、攻撃者はオープンマーケットで投票権を購入し、精査を通過するのに十分な正当性のある言葉で提案を提出し、プロトコル自体が承認した単一のオン_chain(オンチェーン)トランザクションで約2000万ドルを抽出したように見える。エクスプロイトもバグもない。設計通りに機能したガバナンスシステムが、保護するはずだった人々に対して機能しただけだ。これが修正すべきより難しい問題だ。
より広範なSolanaエコシステムにとって、この事件は、ミームコインプロジェクトに対して、トレジャリー提案へのタイムロックや、最後の瞬間の蓄積戦略を実行しにくくする定足数要件など、より強力なガバナンス保護を構築する圧力を強めている。BonkDAOがこれらのガードレールを備えて再建するのか、それともコミュニティの信頼がすでに修復不可能な損害を被ったのかは、最終的には、いかなる法執行機関の結果よりもトークンの未来を決定するかもしれない。
「Sowellian BonkDAO」と名付けられた悪意のあるガバナンス提案(正式にはBonk Improvement Proposal #76)が、BonkDAO独自のガバナンスプラットフォームを使用して可決され、攻撃者が単一の承認されたオンチェーン送金でトレジャリーから約2000万ドル相当のBONKトークンを抜き取ることを可能にした。
約4.4兆BONKトークンは、まず「JHvQ」で終わるBybitアカウントにリンクされたウォレットに送金された。同日、トークンは「eh42」で終わる2番目のSolanaアドレスに移動された。最初の送金後、枯渇したトレジャリートークンから他の当事者へのさらなる分配は観察されなかった。
韓国の取引所Upbitと米国の取引所Krakenは、セキュリティインシデントを受けてBONKトークンの入出金を停止し、Upbitは凍結の理由としてユーザー保護措置を明示的に挙げた。
はい。BonkDAOは、ガバナンス提案の前にBONKの購入に使用された取引所ウォレットを特定し、法執行機関に通報した。チームはまた、資金を回収し、責任者を特定するための継続的な取り組みの一環として、中央集権型取引所、ネットワークブリッジ、Solana財団と連携している。
この記事は人工知能の支援を受けて作成され、編集チームによってレビューされました。

