Crypto Prices

Что такое атака на управление? Как BonkDAO потерял 20 миллионов долларов за один голос

3 часа назад
3 минут чтения
1 просмотров

Введение

6 июля 2026 года кто-то потратил около четырех миллионов долларов на покупку токенов BONK, использовал их для контроля почти ста процентов голосования семи кошельков и законно вывел двадцать миллионов из казны DAO. Код не был взломан. Голосование работало точно так, как было задумано. В этой статье мы рассмотрим, как работают атаки на управление, почему они становятся все более распространенными и что может помочь их предотвратить.

Содержание

Большинство краж криптовалюты связаны с нарушениями: ошибками в смарт-контрактах, украденными ключами или поддельными веб-сайтами. Атака на управление не требует взлома. Она использует существующую систему голосования децентрализованной организации (DAO) так, как это было задумано, чтобы принять предложение, которое передает казну атакующему. Код работает безупречно, правила соблюдаются, но деньги все равно уходят, потому что сами правила это позволяют.

Именно это произошло с BonkDAO 6 июля 2026 года. Атакующий тихо купил примерно четыре миллиона долларов токена BONK на биржах в течение нескольких дней, накопил доминирующую долю голосующей силы и подал предложение в казну DAO.

Когда голосование закрылось, кошельки, связанные с атакующим, контролировали около 99,878 процента поданных голосов. Предложение прошло, и около двадцати миллионов долларов в BONK было выведено из казны на кошельки, контролируемые атакующим. Всего семь адресов проголосовали. Не было никакого взлома в обычном смысле; это был захват, осуществленный через главные ворота.

Причины распространения атак на управление

Атаки на управление становятся все более распространенными, потому что они не требуют элитных технических навыков, только капитала и плохо защищенной системы голосования. Растущее число DAO, многие из которых являются проектами мемкойнов с большими казнами, имеют значительные средства, что делает их уязвимыми.

Этот гид объясняет, что такое атака на управление, подробно рассматривает случай BonkDAO, охватывает основные варианты, включая версию с флеш-кредитом, которая не требует первоначального капитала, исследует исторические примеры от Beanstalk до Compound и Tornado Cash, а также излагает защитные меры, которые действительно работают, и причины, по которым они так редко внедряются.

Как работает атака на управление

Децентрализованная автономная организация (DAO) заменяет руководителей и советы директоров голосованием держателей токенов. Держатели токенов управления подают предложения, другие держатели голосуют, и если предложение достигает необходимого порога, смарт-контракт автоматически выполняет его. Предложения могут настраивать параметры, обновлять код или перемещать средства казны. Привлекательность заключается в том, что никто не контролирует результат; это делает процесс прозрачным и децентрализованным.

Атака на управление превращает эту открытость в оружие. Вместо того чтобы находить ошибку в коде DAO, атакующий получает достаточно голосующей силы законными средствами, обычно покупая токены управления, а затем использует эту силу, чтобы принять предложение, которое приносит выгоду атакующему за счет остальных, чаще всего переводя казну на себя.

Это чисто экономическая атака, которая не требует эксплуатации порядка транзакций или уловок с мемпулом.

Поскольку приобретение токенов и подача голосов являются разрешенными действиями, атака является тем, что исследователи безопасности называют чисто протокольной: ее нельзя предотвратить с помощью криптографии или лучшего аудита кода, потому что ничего не эксплуатируется, кроме механизма голосования, работающего так, как задумано.

Исторические примеры атак на управление

Атака на BonkDAO в июле 2026 года является почти идеальной иллюстрацией, потому что она не использовала никаких эксплойтов, и каждый шаг был виден в цепочке.

Подготовка заключалась в терпеливом накоплении. В течение нескольких дней атакующий купил примерно четыре миллиона долларов в BONK, используя биржевые кошельки, постепенно накапливая голосующую силу, а не в одной заметной покупке. Поскольку BonkDAO использовал обычное голосование с учетом токенов на стандартной платформе управления, накопленный BONK напрямую переводился в накопленные голоса, и поскольку покупки были распределены и проходили через биржи, это не вызвало подозрений.

Для любого наблюдателя это выглядело как обычное накопление мемкойна.

Исполнение заключалось в предложении к казне. Атакующий подал предложение по управлению и оставил его активным в течение шести дней, нормального окна голосования. Здесь проявилась фатальная слабость: почти никто другой не голосовал. Когда окно закрылось, только семь адресов кошельков приняли участие, а кошельки, контролируемые атакующим, держали около 99,878 процента общего веса голосования.

Позиция токена в четыре миллиона долларов была более чем достаточной, чтобы доминировать в голосовании, на которое, по сути, никто другой не пришел. Предложение прошло, и смарт-контракт DAO выполнил его, переместив примерно двадцать миллионов долларов в BONK из казны на кошельки атакующего.

Последствия атаки

Последствия следовали по уже знакомому сценарию. BonkDAO проследил за биржевыми кошельками, использованными для накопления токенов, и начал работать с биржами, кросс-цепочными мостами, фондом сети и правоохранительными органами для восстановления средств, в то время как как минимум одна биржа приостановила переводы BONK.

Однако восстановление после атак на управление, как правило, сложно, именно потому, что кража была осуществлена через собственный легитимный процесс DAO, а не через эксплойт, который мог бы быть отменен, и цена токена резко упала на фоне новостей.

Разнообразие атак на управление

Атаки на управление имеют общую логику, но бывают в нескольких формах, отличающихся в основном тем, как атакующий получает голосующую силу и насколько быстро он наносит удар.

Атака медленного накопления — это модель BonkDAO: покупайте токены постепенно в течение дней или недель, избегайте подозрений и наносите удар, когда вы контролируете достаточно голосов и явка низкая.

Атака с флеш-кредитом — это самый драматичный вариант, потому что она не требует никакого первоначального капитала. Атакующий занимает огромную сумму, использует ее для покупки или иным образом приобретает контролирующий блок токенов управления, голосует за принятие злонамеренного предложения, извлекает казну и погашает кредит, все атомарно в одной транзакции.

Заключение

Широкий контекст заключается в том, что управление становится все более привлекательной целью, поскольку DAO удерживают больше ценности. Сообщества мемкойнов, в частности, накопили значительные казны, часто выраженные в волатильных токенах, чья ценность может резко колебаться, при этом управляя самыми простыми возможными системами голосования.

Сочетание богатого приза за слабым замком именно то, что ищут атакующие. Поскольку управление в цепочке распространяется от экспериментальных протоколов до организаций, управляющих серьезными деньгами, разрыв между DAO, которые укрепили свое голосование, и теми, которые этого не сделали, становится одной из самых четких границ в безопасности криптовалют.