BonkDAO治理攻击事件:DAO恶意提案的法律责任归属与合规启示

BonkDAO治理攻击事件:DAO恶意提案的法律责任归属与合规启示

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

7月7日凌晨,BonkDAO国库约2000万美元的BONK代币被一笔恶意治理提案转出。整个过程只花了7个地址参与投票,其中攻击者相关地址投出了99.878%的权重。这不是漏洞利用,不是私钥泄露,就是一次合规的、按照DAO规则完成的提案执行——只不过提案内容是”把钱转走”。

发生了什么

攻击始末:仅7个地址决定2000万美元去向

吴说区块链(2026年7月7日)报道,BonkDAO遭遇恶意治理提案攻击,导致DAO国库约价值2000万美元的BONK代币被非法转出。慢雾创始人余弦指出,该提案在投票前6天即已发起,但最终仅有7个地址参与投票,其中攻击者相关地址投出了压倒性的99.878%权重。

PeckShield监测数据显示,BONK价格因该事件一度下跌9%,攻击者随后已将价值约14.8万美元的BONK转入OKX(PeckShield,2026年7月7日)。

攻击链路追踪:跨链桥、交易所与安全机构联动

BonkDAO在事件发生后表示,调查期间已识别出攻击者在提案发起前用于购买BONK的交易所账户,目前正与交易所、跨链桥及Solana Foundation合作应对。执法机构已获通报,相关方正推进资金追回及责任人识别工作。

这里有一个值得注意的细节:攻击者并非凭空获得投票权,而是在提案发起前通过二级市场购买了大量BONK代币来获取治理权重。这说明攻击是有预谋、有资金准备的操作,而非机会主义行为。

为什么重要

DAO治理的”民主幻觉”:低投票率下的权力集中风险

7个地址就决定了2000万美元的去向——这个数字本身就是一个强烈的信号。大多数DAO的投票参与率长期低迷,治理代币的分布高度集中,少数大户可以轻易推动任何提案通过。BonkDAO这个案例里,攻击者不需要51%攻击,只需要买够在当时参与率下足以获胜的票数。

这暴露了一个结构性矛盾:DAO宣称的去中心化治理与实际的寡头控制之间的落差。当治理代币可以在公开市场自由购买,治理权本质上是可交易的,攻击成本完全由市场定价。

法律真空:当攻击者就是”多数票”持有者

从法律角度看,这个事件提出了一个棘手的问题:如果一笔交易在DAO的技术规则层面完全合规——提案通过、投票达标、执行无误——那它到底算不算”盗取”?

传统公司法中,大股东滥用控制权转移公司资产会触发信义义务关联交易的审查。但DAO通常既不是公司,也没有注册在任何法域,治理代币持有者之间是否存在信义义务,法律上几乎没有先例。

目前已知的攻击者资金转入OKX这个线索,为执法机构提供了一个突破口。中心化交易所的KYC信息理论上可以帮助追溯到攻击者身份——但这取决于交易所所在法域的合作意愿和执法效率。

怎么看

  • DAO治理的结构性漏洞:低投票率 + 可购买的治理权 = 攻击者的理想狩猎场。这不是BonkDAO独有的问题,而是绝大多数代币治理DAO的共同软肋。法定人数要求、时间锁、否决机制等防护措施在低参与度面前形同虚设。
  • 法律追责路径缺失:当DAO的”合法”提案被用于非法目的,受害者的救济路径在哪里?目前只能依赖中心化中介(交易所)的配合和执法机构对传统刑法条款的创造性适用。DAO成员之间没有合同关系,没有公司章程,没有注册地——这些法律基础设施的缺失,意味着追责基本靠运气。
  • 交易所的角色两难:OKX这次被卷入攻击者的资金流转链条,虽然协助了调查,但也再次将中心化交易所的反洗钱义务推到台前。FATF的Travel Rule要求VASP识别交易对手方——但当攻击者通过跨链桥将资金转入交易所时,交易所如何判断这笔资金是否为犯罪所得?
  • 行业需要DAO治理的”合规基建”:这次事件之后,DAO可能需要认真考虑引入法律包装——无论是基金会、信托还是其他法人结构——来建立最低限度的追责框架。没有法律人格的组织,既无法起诉,也无法被起诉,在发生纠纷时双方都无处可去。

一句话总结

BonkDAO攻击不是技术漏洞,是治理设计缺陷的极端暴露——当DAO的规则可以被任何有钱购买治理代币的人利用,去中心化治理就从理想变成了风险敞口。


本文基于吴说区块链(2026年7月7日)PeckShield监测数据撰写。

发表回复