2026 年 7 月 6 日上午發動的 BonkDAO 治理攻擊,讓 Solana 最具知名度的迷因幣社群之一陷入混亂——並引發了令人不安的疑問:去中心化治理竟能如此輕易地被武器化,反過來對準它本應服務的社群。
7 月 6 日週一下午 4 點(UTC +8)過後不久,超過 4.4 兆枚 BONK 代幣——轉帳時價值約 1,930 萬美元——從 BonkDAO 國庫錢包轉出至結尾為「JHvQ」的位址。透過 Solana 區塊鏈瀏覽器 Solscan 確認,該錢包的資金來源為 Bybit 帳戶。到了 7 月 7 日凌晨 3 點 30 分(UTC +8),這些代幣再次被轉移,這次是轉至另一個結尾為「eh42」的 Solana 位址。這兩個位址均未觀察到向其他方進行進一步分配。
這次攻擊特別引人注目的是,它不需要駭客入侵任何私鑰,也不涉及傳統意義上的智能合約漏洞。攻擊者完全在規則範圍內行事。
使用 BonkDAO 自身治理平台提交並通過的 Bonk 改進提案 #76,是此次漏洞利用的核心機制。該提案名為「Sowellian BonkDAO」,承諾「實施 Sowellian 治理、安裝新成員與委員會、從廢墟中重建、將持倉變現,並止住失血」。它還拋出了一個誘因:所有投「贊成」票的選民都有資格獲得 BONK 代幣作為獎勵。
該獎勵承諾從未實現。轉入「JHvQ」錢包的代幣從未分配給投票者。相反,幾小時後它們被轉移至第二個位址——這種模式符合攻擊者試圖掩蓋軌跡,而非履行任何社群承諾的行為。
這裡的機制值得關注。透過在投票前購買足夠的 BONK 以獲得治理權,攻擊者能夠在鏈上合法地推動提案通過。BonkDAO 隨後證實,已識別出提案提交前用於購買 BONK 的交易所錢包——這意味著投票權的積累在事後看來是顯而易見的,即使當時未能及時標記以防止資金被掏空。
主要加密貨幣交易所迅速採取行動。韓國交易所 Upbit 和美國交易所 Kraken 在事件發生後均暫停 BONK 的充值與提現,Upbit 明確指出這是「安全事件發生後為保護用戶而採取的措施」。凍結中心化平台活動的決定是漏洞利用場景中的標準第一線應對措施——這限制了攻擊者將竊取的代幣變現為現金的能力。
這是否足以困住任何被掏空的 BONK 尚不清楚。在交易所實施凍結之前,這些代幣已經轉移过一次。
BonkDAO 在 X 上發文表示,已通知執法部門,且團隊正積極與「相關方合作以追回資金並確認責任人」。Bonk 團隊正與中心化交易所、網路橋接及 Solana 基金會協調推進此項工作——這種多管齊下的方法,既反映了鏈上追蹤的複雜性,也說明了追回資金可能需要交易所等鏈下中介機構的配合。
攻擊發生後的 24 小時內,BONK 價格降低了約 7%,交易價格約為 0.0000043 美元。該價格較其 0.000058 美元的歷史最高點降低了約 93%——這提醒我們,BONK 曾是市值前 100 名的加密貨幣,早在這次治理漏洞利用帶來新壓力之前,就已處於長期下跌趨勢中。
考慮到掏空的規模,初期的價格跌幅相對受到控制,這可能反映了市場對迷因幣駭客攻擊普遍變得麻木,或是尚未發生大規模拋售竊取代幣的情況。後者這種情況更令人不安:4.4 兆枚 BONK 代幣存放在攻擊者控制的錢包中,一旦且當它們進入流動市場,將構成巨大的潛在拋售壓力。
此次漏洞利用的機制為更廣泛的去中心化金融領域敲響了警鐘。治理攻擊——即惡意行為者專門積累投票權以通過利己提案——並非新事物,但它們仍是一種被低估的攻擊向量。大多數社群治理系統被設計為開放且無需許可,而這也正是它們容易被操縱的原因。
在 BonkDAO 的案例中,攻擊者似乎是在公開市場上購買了投票權,提交了一個措辭剛好足夠合理以通過審查的提案,並在協議本身授權的單筆鏈上交易中套取了近 2,000 萬美元。沒有漏洞,沒有 Bug——只有一個完全按照設計運作的治理系統,卻反過來對準了它本應保護的人。這是更難解決的問題。
對於更廣泛的 Solana 生態系統而言,此事件加大了迷因幣專案建立更強大治理保障的壓力——從國庫提案的時間鎖,到使最後一刻積累策略更難執行的法定人數要求。BonkDAO 是否能在這些防護措施到位的情況下重建,或者社群信任是否已經遭受無法彌補的損害,最終可能比任何執法結果更能決定該代幣的未來。
一個名為「Sowellian BonkDAO」的惡意治理提案——正式名稱為 Bonk 改進提案 #76——使用 BonkDAO 自身的治理平台獲得通過,使攻擊者能夠在單筆授權的鏈上轉帳中,從國庫掏空約 2,000 萬美元價值的 BONK 代幣。
約 4.4 兆枚 BONK 代幣首先被轉入結尾為「JHvQ」的錢包,該錢包與 Bybit 帳戶連結。當天晚些時候,這些代幣被轉移至第二個結尾為「eh42」的 Solana 位址。在初次轉帳後,未觀察到被掏空的國庫代幣向其他方進行進一步分配。
韓國交易所 Upbit 和美國交易所 Kraken 在安全事件發生後均暫停 BONK 代幣的充值與提現,Upbit 明確指出凍結的原因是採取用戶保護措施。
是的。BonkDAO 識別出在治理提案前提前購買 BONK 所使用的交易所錢包,並已通知執法部門。該團隊還正與中心化交易所、網路橋接及 Solana 基金會協調,持續努力追回資金並確認責任人。
本文在人工智慧的協助下製作,並經編輯團隊審閱。


