אבטחת DEX: ניצול פגיעות במתקפת ממשל על BONK Token

Article author

תוקף ניצל את קווארום הממשל על ידי רכישת בדיוק 1% מטוקני BONK

במתקפת ממשל מחושבת על BONK DAO, פגע נצלן זדוני הוציא כ־4.4 מיליון דולר כדי לרכוש בדיוק 1% מהאספקה הכוללת של טוקני BONK באמצעות הבורסות Bybit ו-Binance. רכישה מדויקת זו עמדה בדרישת הקווארום הנחוצה לאישור הצעת ממשל זדונית שהוגשה ב-30 ביוני 2026. עד 6 ביולי, התוקף הצביע עם כל ההחזקות שלו בעד ההצעה אשר אישרה העברה של 20 מיליון דולר מטוקני BONK מן הקופה של ה-DAO ישירות לארנק הפרטי שלו.

BONK DAO פועל כארגון אוטונומי מבוזר השולט במאמרקווין BONK המבוסס על Solana באמצעות הצבעה של מחזיקי הטוקנים, ולא באמצעות קבלת החלטות מרוכזת. מסגרת הממשל דורשת לפחות 1% מהאחזקה בטוקנים לקווארום — מינימום ההשתתפות הנדרש כדי שהצעות ייכנסו לתוקף. ניצול סף זה, התוקף צבר את כוח ההצבעה המינימלי הנדרש אך ורק באמצעות רכישות בבורסה במשך יומיים, ואפשר השתלטות עוינת דרך מנגנון ההצבעה המשוקללת על פי משקל טוקני ה-DAO.

וקטור זה מדגיש פגיעות יסודית בעיצוב ממשלי DAO, שבו כוח ההצבעה מתואם ישירות לאחזקות נזילות בטוקנים, ומאפשר לריכוז הון לשבור את שליטת הקהילה המיועדת.


פרטי הנזילה: העברת 20 מיליון דולר בטוקני BONK לאחר ההצבעה

לאחר אישור ההצעה הזדונית בממשל, התוקף ביצע נזילה אוטומטית של קופת BONK DAO, והעביר כ-4.43 טריליון טוקני BONK — בשווי של כ-20 מיליון דולר — לארנק הפרטי שלו. בתוך קצת יותר משעה, התוקף התחיל לממש את האחזקות, ומכר טוקנים בשווי של כ-5.3 מיליון דולר זמן קצר לאחר הנזילה.

תשע שעות לאחר הנזילה, התוקף העביר בערך 188,000 דולר מהטוקנים הגנובים לבורסה למטבעות קריפטוגרפיים, ככל הנראה כדי לממש מזומן או לבצע הלבנת הון. בינתיים, רוב הכספים שנגנבו, כ-19 מיליון דולר, הועברו לארנק רב-חתימות הדורש אישורים מרובים להעברת הכספים. פיזור זה עשוי להעיד על ניסיון לאבטח או להסתיר את הכספים לאחר הגניבה.

תנועות אלו ממחישות אסטרטגיית מימוש מהירה בשילוב עם צעדים לשמירת שליטה על רוב הטוקנים הגנובים, שמסבכת את מאמצי ההתאוששות המידיים והמעקב.


ניצול קווארום בממשל: סיכונים ומנגנוני הפחתה במערכות הצבעה משוקללות לפי טוקנים

היבט פרטי ההתקפה פירוש הסיכון אפשרויות הפחתה
דרישת קווארום בדיוק 1% מאספקת BONK נדרש לעבור הצעות סף קווארום נמוך מאפשר לבעלי אחזקה קטנים יחסית להשפיע העלאת סף הקווארום או הטמעת קווארומים הדרגתיים
שיטת רכישת הטוקנים הוציא 4.4 מיליון דולר לרכישת BONK דרך Bybit ו-Binance נזילות שוקית ניתנת לניצול לשליטה בהצבעות החלת תקופות נעילה לטוקנים לפני ההצבעה
מקור ההצעה הצעה זדונית שהוגשה באנונימיות ב-30 ביוני חוסר אימות זהות בהגשת ההצעה הוספת אימות זהות או עמלות הצעה מבוססות אחוז
ביצוע ההצבעה כל ההחזקות הוצבו בעד לאחר שהושג קווארום ב-6 ביולי שליטה של מחזיק יחיד בסיכון להשתלטות על הממשל הצבעה משוקללת עם דעיכת משקל לפי זמן, או מודלים ממשליים מרובי שכבות

המתקפה מדגימה כיצד מודלים ממשליים שתלויים אך ורק בהצבעה משוקללת לפי טוקנים וספים נמוכים לקווארום פגיעים למניפולציה כבדה מכסף. הגדלת דרישות הקווארום או יישום מנגנוני הצבעה הדרגתיים — כגון נעילות זמן, דעיכת משקל הצבעה או הצבעה מיותרת — יכולים להפחית סיכונים כאלו.

בנוסף, דרישה שהמציעים יתחייבו בטוקנים להצגת הצעות ממשל או שילוב מערכות מוניטין עשויים להרתיע הצעות זדוניות אופורטוניסטיות. הגנה נוספת טמונה במעקב מוגבר אחר תנועות טוקנים גדולות בזמן הצבעות ממשל, שמעוררות אמצעי בטיחות כנגד הצטברות פתאומית של אחזקות.


תנועות נכסים אחרי ההתקפה חושפות ניהול כספים מתקדם

אופן הטיפול של התוקף בטוקנים לאחר הנזילה מעיד על רמת אבטחה תפעולית וניהול כספים מתקדמים:

  • מכירה מיידית חלקית: פינוי 5.3 מיליון דולר בטוקני BONK זמן קצר לאחר ההתקפה מציין ניצול נזילות למימוש ערך בלי להציף את השוק.

  • העברה לבורסה: שליחת 188,000 דולר לבורסה בתוך שעות ככל הנראה למימוש סכומים קטנים ראשוניים עם מינימום גילוי.

  • שימוש בארנק רב-חתימות: רוב הכספים הועברו לארנק רב-חתימות, כנראה לפיזור מבוקר או לשכבות הסוואה נוספות.

רצף זה דומה לאסטרטגיות להלבנת הון הנצפות בהתקפות DeFi, בהן תוקפים מאזנים בין נזילות מהירה לבין העברת כספים להימנעות מהקפאות או מעקב של חברות פורנזיות. השימוש בארנקים רב-חתימות עשוי להעיד גם על תכנון חלוקת הכספים בין שותפים או השלמת מזומנים בשלבים.


ניתוח השוואתי: מתקפות ממשל דרך צבירת טוקנים

אירוע סף קווארום עלות רכישת טוקנים ערך נזילות הקופה מבנה ממשל תוצאה
BONK DAO (2026) 1% מאספקת הטוקנים כ-4.4 מיליון דולר 20 מיליון דולר הצבעה משוקללת עם קווארום 1% הצעה אושרה; הקופה נזלגה אל התוקף
DAO טיפוסי דוגמה A 10% מאספקת הטוקנים עלות גבוהה יותר בינונית הצבעה משוקללת, קווארום גבוה הצבעות קשות יותר למניפולציה
DAO טיפוסי דוגמה B 0.5% מאספקת הטוקנים עלות נמוכה קופה קטנה דמוקרטיה נזילה, ייפוי כוח אפשרות מניפולציה בקנה מידה קטן יותר

בהשוואה ל-DAO רבים עם ספים גבוהים יותר או מבני ממשל מורכבים, סף הקווארום הנמוך ומבנה ההצבעה הפשוט של BONK DAO סיפק וקטור מתקפה נוח לתוקף שהשקיע הון באופן אסטרטגי. היכולת של התוקף לרכוש בדיוק את כמות הטוקנים הדרושה לעמידה בקווארום ולהעביר הצעה זדונית ממחישה את האיזון העדין בין השתתפות דמוקרטית לבין הגנה מפני השתלטות שלטונית-כלכלית.


“מקרה זה מדגים אתגר אבטחה מתמשך בממשל מבוזר — ההנחה כי הצבעה משוקללת בטוקנים תתאם תמריצים ותבטיח אבטחה עלולה להיות תמים בהחלט ללא בקרות קווארום מחמירות, סקירת הצעות או מנגנוני נעילת אחזקות. מתמודד ממומן היטב יכול להפיל את הממשל אם ספי ההשתתפות נמוכים מדי או אם טוקן ההצבעה נשאר זמין לנזילות ללא אמצעי הגנה.”
— תובנות אבטחה טכנית מבוססות על ניסיון Soken בבדיקות ממשל DeFi.


לקחים טכניים וממשליים מנזילת קופת BONK DAO

מתקפת הנזילה בקופת BONK DAO היא דוגמה מובהקת לסיכון הטמון במודלים ממשליים על גבי שרשרת עם סף קווארום נמוך והצבעה משוקללת לפי טוקנים:

  1. נזילות טוקן ממשל קריטית: היכולת לצבור כוח הצבעה גדול בבורסת מטבעות בזמן קצר פוגעת בשלמות הממשל.

  2. קליברציה מדויקת של סף הקווארום: קביעת קווארום ב-1% אפשרה לתוקף לעמוד בו בהוצאה נמוכה ביחס לערך הקופה, ובכך אפשרה מתקפה כלכלית רציונלית.

  3. בקרות על הגשת הצעות חשובות: המערכת לא מנעה הגשות אנונימיות או לא מאומתות, שאפשרו את הצבעת ההוראה הזדונית.

  4. זהות מצביעים ונעילות זמן: ללא מנגנונים המגבילים הצטברות מהירה וזכויות הצבעה מידיות, תוקפים יכולים להשתמש בנזילות השוק להשתלטויות מהירות.

  5. אתגרי פורנזיקה בניהול כספים לאחר המתקפה: הפצה מהירה של הטוקנים דרך בורסות וארנקים מרובי חתימות מקשה על התאוששות ומחייב מעקב ואימות מתקדמים לאחר האירוע.

פרוטוקולים המעצבים מסגרות ממשל DAO חייבים לאזן בין הכללה דמוקרטית לבין חשיפת פגיעות מריכוז הון. הגנות מרובת שכבות כגון נעילות אחזקות, אישור הצעות בחתימה מרובה, אפשרויות ייפוי כוח ועידוד כלכלי נגד מניפולציה הכרחיות להקשחת ביטחון הממשל.


ניתוח סיכום: חיזוק אבטחת ממשל DAO נגד מתקפות מבוססות הון

בדיקת מתקפת BONK DAO חושפת את הפגיעויות החריפות במודלים ממשליים התלויים בנזילות טוקנים עם ספים נמוכים לקווארום. אסטרטגיית התוקף — רכישת טוקנים בכמות מדויקת בבורסות מרכזיות לצורך נזילה של 20 מיליון דולר — ממחישה כיצד חישובים כלכליים פשוטים יכולים להחריב מערכות לכאורה מבוזרות.

לצורך חיזוק העמידות, על DAOs לשקול הטמעת דרישות קווארום מחמירות בהתאם לגודל הקופה, הטלת נעילות זמן משוקללות לטוקני ממשל, ודרישת ערבות בין המציעים להרתעת הגשות זדוניות. מעקב בזמן אמת אחר רכישות גדולות של טוקנים המשויכות לזמן הצבעה יכול גם הוא להפעיל הקפאות ממשל ידניות או אוטומטיות, ולקנות זמן לבחינת הקהילה.

העברת הכספים לאחר ההתקפה לארנקים רב-חתימות מדגימה את רמת האבטחה התפעולית המתקדמת שבה משתמשים התוקפים כיום, ודורשת פתרונות המשלבים שקיפות בשרשרת יחד עם חקירות והפרעות מחוץ לשרשרת.

ארגונים המעוניינים לשפר רמת האבטחה בתהליכי ממשל DAO ימצאו ערך בהעמקה בשירותי בדיקות מותאמים וייעוץ בארכיטקטורת ממשל. חיזוק הממשל חיוני כיוון שהוא מגן לא רק על נכסי הפרוטוקול אלא גם על האמון היסודי שסביבתו DeFi נשענת עליו.

לצוותים המפתחים או משדרגים ממשל מבוזר מומלץ להתמקד הן בווקטורי התקפה כלכלית והן באמצעי הגנה טכניים למניעת ניצולים יקרי מחיר תוך שמירה על האתוס של קבלת החלטות מונעת קהילה.

גלו את שירותי הערכת אבטחת ממשל ובדיקות של Soken כדי לאתר חולשות קריטיות מוקדם, ולסלול את הדרך לאקוסיסטמים מבוזרים בטוחים ויציבים יותר.


גלו בדיקות אבטחה ותסקירי ממשל ב-Web3 | למדו על אסדרות משפטיות ומדיניות | קראו עוד על ניצול ממשל מבוזר

Article author

שאלות נפוצות

מה קרה במתקפת ממשל על BONK DAO?

תוקף השקיע כ-$4.4 מיליון לרכישת 1% מדויק של טוקני BONK, מה שאיפשר לו לעבור את סף הקוואורום ולאשר הצעת חוק זדונית להעברת 20 מיליון דולר מארנק האוצר של BONK DAO לארנקו הפרטי.

איך התוקף ניצל את הפגיעות ב-decentralized exchange?

התוקף רכש 1% מסך הטוקנים של BONK בבורסות Bybit ו-Binance, וניצל את סף הקוואורום הנמוך להצעות ממשל כדי לבצע העברות כספים לא מאושרות.

מהו קוואורום בארגון עצמאי מבוזר (DAO)?

קוואורום הוא אחוז מינימלי של מחזיקי טוקנים שמשתתפים בהצבעות ממשל, הדרוש כדי שההצעות יהיו תקפות וייכנסו לתוקף במסגרת DAO.

כיצד פרויקטים ב-DeFi יכולים למנוע מתקפות קוואורום בממשל?

פרויקטים ב-DeFi צריכים ליישם אבטחה רב-שכבתית, להעלות את סף הקוואורום, להטמיע דחיות זמן להצעות ולפקח על צבירת טוקנים חשודה כדי למנוע מתקפות כאלה.

האם רכישת טוקנים כדי להגיע לקוואורום היא פגיעות נפוצה ב-DAOs?

כן, אחוזי קוואורום נמוכים מאפשרים לתוקפים לרכוש טוקנים בכדי לשלוט בהצבעות, מה שהופך זאת לסיכון אבטחה קריטי בממשל DAO.

צ׳אט