BONK грозит утечка казны в размере $20 млн после того, как злоумышленник потратил $4 млн на передачу вредоносного предложения
Вечером в понедельник из BONK DAO были слиты $20 млн, что стало кульминацией недельной схемы, в рамках которой злоумышленник потратил около $4,4 млн на скупку токенов проекта, чтобы провести голосование. Каждый шаг был законной транзакцией — например, покупка, голосование, выплата — и в итоге состоялась кража.
BONK — это мемкоин, основанный на Solana, а BONK DAO — это децентрализованная автономная организация, которая им управляет, структура, в которой решение принимается не компанией, а держателями токенов, которые голосуют за предложения. Любой, у кого есть достаточно токенов, может предложить изменение, и, если голосование пройдет успешно, оно будет автоматически выполнено в блокчейне.
Эта конструкция была конкретным оружием, использованным в этой атаке. Как показывают данные, цены на BONK упали на 7% за последние 24 часа после атаки.
По данным Chainalysis, эта последовательность началась 30 июня, когда анонимный кошелек представил предложение о переводе активов казначейства на кошелек, который он контролирует. Чтобы принять предложение, необходимо было получить голоса «за», равные 1% от предложения BONK, кворума или минимального участия, необходимого для того, чтобы оно вступило в силу.
По данным Lookonchain, за 4 и 5 июля отдельный кошелек приобрел ровно столько, потратив около $4,4 млн на покупку BONK на биржах Bybit и Binance и, по одному счету, заимствовав больше через кредитные платформы DeFi.
Предложение, озаглавленное «BIP № 76 — Sowellian BonkDAO», было принято при голосовании всего 7 кошельков против более чем 18 000 членов, которые этого не сделали. Явка составила 2,9%.
Злоумышленник преодолел планку кворума с минимальным отрывом: 882,38 млрд BONK при пороге в 879,95 млрд, что почти в точности соответствует сумме, на сбор которой злоумышленник потратил несколько дней.
Результат «за» в 99,9% фактически означал, что единственный избиратель согласился сам с собой. Его письменное предложение читается не как предложение руководства, а скорее как хвастовство, обещающее «восстановить из пепла, монетизировать активы, остановить кровотечение», со строкой, отмечающей, что «все избиратели, проголосовавшие «за», имеют право на получение токенов».
Ниже находилась единственная инструкция — перевод 4,43 трлн BONK на кошелек злоумышленника.

Злоумышленник отдал всю свою ставку в пользу этого предложения, которое затем было принято, и вскоре после этого около $20 млн в BONK автоматически перешли из казны в кошелек злоумышленника.
«Спустя 9 часов примерно $188 000 были отправлены на биржу для обналичивания, а оставшиеся $19 млн были отправлены на кошелек с мультиподписью, который требует многократного одобрения для перевода средств», — сообщает Chainalysis.
Чуть более чем через час после утечки злоумышленник начал продавать BONK, купленный для атаки, потеряв при этом около $5,3 млн. Он сохранил токены казначейства, но не ставку, собранную для их захвата.
BONK DAO подтвердил атаку, назвав ее злонамеренным предложением по управлению, которое, по оценкам, истощило ее казну на $20 млн. В компании заявили, что определили биржевые кошельки, которые использовались для покупки токенов перед голосованием, и работают с биржами, мостами и Solana Foundation, чтобы справиться с последствиями.
Это нападение возобновило старый спор о том, являются ли подобные вещи воровством или добросовестным использованием правил.
Поскольку каждый шаг был действительной транзакцией, некоторые наблюдатели в сети утверждали, что злоумышленник просто воспользовался слабой структурой управления, а не взломал систему. BONK DAO и аналитические компании рассматривают это как атаку, и участие правоохранительных органов отражает это.
Источник: www.block-chain24.com