Un atacante gastó unos 4,4 $M para extraer aproximadamente 21,2 $M de la tesorería del memecoin BONK el 30 de junio, embolsándose un beneficio de 16,8 $M tras un ataque de gobernanza por quórum de manual.
Cómo funcionó el ataque
El atacante presentó una propuesta de gobernanza para transferir 4,426 billones de $BONK desde la tesorería del proyecto a un monedero bajo su control. Durante los dos días anteriores, acumuló 882.285 millones de $BONK en Bybit y Binance a un coste de 4,4 $M, lo justo para superar el umbral de quórum de 879.950 millones de $BONK exigido para la votación. Votó "Sí" con todo el paquete, la propuesta se aprobó y la transferencia desde la tesorería se ejecutó de forma automática a su dirección.
Por qué importa
El exploit deja al descubierto lo frágil que se vuelve la gobernanza cuando el coste de alcanzar el quórum es una fracción de la tesorería que controla. En el caso de BONK, un memecoin sin ingresos de protocolo que puedan absorber la pérdida, el agujero de 21,2 $M equivale a aproximadamente un tercio del tamaño habitual de las tesorerías de DAO de su escala. Otros DAO de memecoins de Solana que utilizan gobernanza tipo Realms tendrán ahora que recalcular la proporción entre quórum y tesorería que permite su voto ponderado por tokens, ya que el mismo guion es replicable públicamente contra cualquier proyecto en el que comprar la votación salga más barato que los activos que esta puede mover.
Fuente: [source](https://v2.realms.today/dao/84pGFuy1Y27ApK67ApethaPvexeDWA66zNV8gm38TVeQ/proposal/6wR1jdhhJ31bbdRNXva8MxqsgsNLKTxargcdAyZ7FcRj/votes)
Preguntas frecuentes
-
¿Cuánto le costó al atacante el ataque a la tesorería de BONK?
Unos 4,4 $M gastados en comprar 882.285 millones de $BONK en Bybit y Binance para alcanzar el umbral de quórum de 879.950 millones. El atacante se llevó alrededor de 21,2 $M, con un beneficio cercano a 16,8 $M.
-
¿Qué hizo exactamente la propuesta de gobernanza de BONK?
Autorizó una transferencia de 4,426 billones de $BONK desde la tesorería de BONK a un monedero controlado por el atacante. Una vez alcanzado el quórum y aprobada la votación, la transferencia se ejecutó de forma automática.
-
¿Qué exchanges usó el atacante para comprar los $BONK de la votación?
El atacante acumuló los 882.285 millones de $BONK a lo largo de dos días en Bybit y Binance antes de emitir el voto.
-
¿Dónde está ahora el BONK robado?
Alrededor de 40.000 millones de $BONK (unos 188.000 $) se han depositado en OKX. Los restantes 4,386 billones de $BONK (unos 19,3 $M) siguen en el monedero controlado por el atacante.
-
¿Por qué es relevante este ataque para otros DAO de Solana?
Demuestra que cuando el coste de comprar el quórum es una fracción de la tesorería que puede mover, la gobernanza ponderada por tokens se explota con facilidad. Cualquier DAO de memecoin de Solana con una configuración tipo Realms debe ahora recalcular su proporción entre quórum y tesorería.