David Schwartz, ehemaliger CTO von Ripple, sagte, dass der Abfluss von 20 Millionen US-Dollar aus der BONK DAO-Kasse als Unternehmensbetrug behandelt werden könnte, obwohl der Angreifer das On-Chain-Governance-System des Projekts nutzte, um die Übertragung zu genehmigen.
Der Angriff konzentrierte sich auf einen bösartigen Governance-Vorschlag, der etwa 4,42 Billionen BONK-Token von der DAO-Kasse in eine vom Angreifer kontrollierte Wallet verschob. Der Übertragung folgte eine Abstimmung mit geringer Beteiligung, bei der der Angreifer eine vorübergehende Stimmmehrheit nutzte, um den Vorschlag durchzubringen.

BONK, ein auf Solana basierender Memecoin, fiel nach dem Vorfall um etwa 7 %. BONK DAO hat den Vorfall als bösartigen Governance-Vorschlag beschrieben und angegeben, dass es mit Börsen, Bridges und der Solana Foundation zusammenarbeitet.
Der Angriff begann, als eine anonyme Wallet den Vorschlag BIP #76 einreichte, der eine Anweisung zur Übertragung der BONK-Token aus der Kasse in die Wallet des Angreifers enthielt. Für die Annahme des Vorschlags waren Ja-Stimmen in Höhe von 1 % des BONK-Angebots erforderlich.
Laut On-Chain-Analysen, die in Berichten zitiert wurden, gab der Angreifer etwa 4,4 Millionen US-Dollar für den Kauf von BONK über Börsen wie Binance und Bybit aus. Einige Berichte besagten auch, dass der Angreifer DeFi-Kreditplattformen nutzte, um seine Stimmkraft zu erhöhen.
Nur sieben Wallets stimmten über den Vorschlag ab, während mehr als 18.000 Mitglieder nicht teilnahmen. Die Wahlbeteiligung lag bei etwa 2,9 %, was es der Wallet des Angreifers ermöglichte, den Vorschlag mit fast ausschließlich Ja-Stimmen durchzubringen.
Die Abstimmung erreichte das Quorum knapp, mit 882,38 Milliarden BONK dafür gegenüber einem Schwellenwert von 879,95 Milliarden. Nachdem der Vorschlag angenommen wurde, wurde die Kassenübertragung automatisch ausgeführt.
David Schwartz sagte, der Vorfall sollte nicht als legale Nutzung von On-Chain-Regeln abgetan werden. Er argumentierte, dass DAO-Teilnehmer bei der Verwaltung gemeinsamer Vermögenswerte weiterhin Pflichten haben könnten.
Schwartz charakterisierte den Abfluss als Unternehmensbetrug, da DAO-Teilnehmer als Treuhänder handeln können, wenn sie gemeinsame Kassenmittel kontrollieren. Seine Ansicht war, dass eine gültige Code-Ausführung die rechtliche Verantwortung nicht aufhebt, wenn gemeinsame Vermögenswerte wissentlich missbraucht werden.
Er sagte auch, dass staatliche Gerichte im Allgemeinen keine „Code ist Gesetz“-Verteidigung akzeptieren, wenn Vermögenswerte veruntreut werden. Diese Position stellt die Argumentation in Frage, dass der Angreifer lediglich die Regeln des Smart Contracts befolgt habe.
Das Thema bleibt rechtlich komplex, da jeder Schritt der Transaktion über den Governance-Prozess des Projekts erfolgte. Allerdings haben BONK DAO und Analysefirmen den Vorfall als Angriff eingestuft, und es wurde über die Beteiligung der Strafverfolgungsbehörden berichtet.
Nachdem der Vorschlag angenommen wurde, wurden etwa 20 Millionen US-Dollar in BONK von der DAO-Kasse in die vom Angreifer kontrollierte Wallet verschoben. Berichten zufolge wurden später etwa 188.000 $ an eine Börse gesendet, wahrscheinlich für Auszahlungsaktivitäten.
Der verbleibende Betrag wurde laut Chainalysis in eine Multisig-Wallet verschoben. Eine Multisig-Wallet erfordert mehr als eine Genehmigung, bevor Gelder bewegt werden können.
Der Angreifer verkaufte auch die BONK, die verwendet wurden, um die Stimmkontrolle zu erlangen. Berichten zufolge wurde BONK im Wert von etwa 5,3 Millionen US-Dollar nach der Kassenübertragung verkauft.
Diese Sequenz hinterließ dem Angreifer die Kontrolle über die abgeflossenen Kassen-Token, während ein Großteil der Stimmanteile, die zur Durchsetzung des Vorschlags verwendet wurden, entfernt wurde. Der Fall hat die scrutiny von DAOs erhöht, die auf Token-Abstimmungen ohne stärkere Sicherheitschecks setzen.
Der Vorfall bei BONK DAO hat die Debatte über token-gewichtete Governance neu entfacht. Eine Kasse kann anfällig werden, wenn ein temporärer Token-Käufer billig genug Stimmkraft erwerben kann, um einen schädlichen Vorschlag durchzubringen.
Der Angriff deckte auch Risiken auf, die mit einer geringen Wahlbeteiligung verbunden sind. Eine kleine Gruppe von abstimmenden Wallets kann wichtige Entscheidungen kontrollieren, wenn das Quorum niedrig ist und die Schutzmaßnahmen schwach sind.
Zu den gängigen Schutzmaßnahmen gehören Zeitverzögerungen (Time-Locks), höhere Quorum-Schwellenwerte, Notfall-Vetorechte, Prüfzeiträume für Vorschläge und Limits für Kassenübertragungen. Die Übertragung von BONK DAO wurde ohne ausreichende Verzögerung ausgeführt, um den Abfluss zu verhindern.
Der Beitrag „Ehemaliger Ripple-CTO sagt, BONK DAO-Kassenabfluss könnte Unternehmensbetrug sein“ erschien zuerst auf CoinCentral.


