David Schwartz, CTO Emérito da Ripple, disse que o desvio de 20 milhões de dólares do tesouro da BONK DAO poderia ser tratado como fraude corporativa, mesmo que o atacante tenha utilizado o sistema de governação on-chain do projeto para aprovar a transferência.
O ataque centrou-se numa proposta de governação maliciosa que moveu cerca de 4,42 triliões de tokens BONK do tesouro da DAO para uma carteira controlada pelo atacante. A transferência ocorreu após uma votação com baixa participação, na qual o atacante utilizou uma maioria de voto temporária para aprovar a proposta.

A BONK, uma memecoin baseada na Solana, caiu cerca de 7% após o incidente. A BONK DAO descreveu o evento como uma proposta de governação maliciosa e afirmou estar a trabalhar com exchanges, pontes e a Fundação Solana.
O ataque começou quando uma carteira anónima submeteu a proposta BIP #76, que incluía uma instrução para transferir os tokens BONK do tesouro para a carteira do atacante. A proposta necessitava de votos favoráveis equivalentes a 1% do fornecimento de BONK para ser aprovada.
O atacante gastou cerca de 4,4 milhões de dólares a comprar BONK através de exchanges, incluindo a Binance e a Bybit, segundo análises on-chain citadas em relatórios. Alguns relatórios indicaram também que o atacante utilizou plataformas de empréstimo DeFi para aumentar o seu poder de voto.
Apenas sete carteiras votaram na proposta, enquanto mais de 18.000 membros não participaram. A taxa de participação foi de cerca de 2,9%, permitindo que a carteira do atacante aprovasse a proposta com quase todos os votos a favor.
A votação atingiu o quórum por uma margem estreita, com 882,38 mil milhões de BONK a favor, contra um limiar de 879,95 mil milhões. Após a aprovação da proposta, a transferência do tesouro foi executada automaticamente.
David Schwartz disse que o incidente não deve ser descartado como um uso legal das regras on-chain. Argumentou que os participantes da DAO podem ainda ter deveres ao gerir ativos partilhados.
Schwartz caracterizou o desvio como fraude corporativa porque os participantes da DAO podem atuar como fiduciários ao controlar fundos comuns do tesouro. A sua visão era que uma execução válida do código não remove a responsabilidade legal se os ativos partilhados forem indevidamente utilizados de forma consciente.
Disse também que os tribunais estaduais geralmente não aceitam a defesa de que “o código é lei” quando há apropriação indevida de ativos. Essa posição desafia o argumento de que o atacante apenas seguiu as regras do contrato inteligente.
A questão permanece legalmente complexa porque cada passo da transação ocorreu através do processo de governação do projeto. No entanto, a BONK DAO e empresas de análise trataram o evento como um ataque, e foi reportado o envolvimento das autoridades.
Após a aprovação da proposta, cerca de 20 milhões de dólares em BONK foram movidos do tesouro da DAO para a carteira controlada pelo atacante. Relatórios indicaram que cerca de 188.000 dólares foram posteriormente enviados para uma exchange, provavelmente para atividade de conversão em dinheiro.
O montante restante foi movido para uma carteira multisig, segundo a Chainalysis. Uma carteira multisig requer mais do que uma aprovação antes que os fundos possam ser movidos.
O atacante também vendeu os BONK utilizados para obter controlo de voto. Relatórios indicaram que cerca de 5,3 milhões de dólares dos BONK comprados foram vendidos após a transferência do tesouro.
Essa sequência deixou o atacante com o controlo dos tokens do tesouro desviados, enquanto removia grande parte da participação de voto utilizada para aprovar a proposta. O caso aumentou o escrutínio sobre DAOs que dependem de votação por token sem verificações de segurança mais robustas.
O incidente da BONK DAO reabriu o debate sobre a governação ponderada por tokens. Um tesouro pode tornar-se vulnerável quando um comprador temporário de tokens consegue adquirir barato poder de voto suficiente para aprovar uma proposta prejudicial.
O ataque também expôs riscos ligados à baixa participação. Um pequeno grupo de carteiras votantes pode controlar decisões importantes se o quórum for baixo e as salvaguardas forem fracas.
As proteções comuns incluem bloqueios temporais, limiares de quórum mais elevados, direitos de veto de emergência, períodos de revisão de propostas e limites nas transferências do tesouro. A transferência da BONK DAO foi executada sem atraso suficiente para prevenir o desvio.
O artigo "CTO Emérito da Ripple diz que o esvaziamento do tesouro da BONK DAO pode ser fraude corporativa" foi publicado primeiro no CoinCentral.
