行情差的时候,连小偷都不需要偷偷摸摸了🤡。
昨天,有人花440万美元买了对应数量的 ,从BonkDAO 国库里"合法"拿走了2000万美元的对应代币。
最骚的是,这套操作全流程走的 DAO 自己的投票系统。
第一,买够1% $bonk 代币凑够投票门槛;
第二,提交一份所谓的提案,标题写着"XXX治理改革",
第三,提案里面还藏了一句,"把4.4万亿BONK转进我的钱包"。
由于治理论坛不怎么活跃,加密行情不好可能也没啥人关注,这个图穷匕见的提案在 Bonk DAO 论坛硬是挂了6天没人发现,18000个有投票权的地址,只有7个钱包投了票....
攻击者自己也投了赞成票,最后赞成的人占多数,DAO 的智能合约照章执行, solana:DezXAZ8z7PnrnRJjz3wXBoRgixCa6xjnB7YaB1pPB263 就真的到账了...
扭头一算,攻击者的 ROI 极高,花小钱办大事,投入产出比接近 1:5。
小编觉得最讽刺的点在于,「自治」的前提是真的有人在治理啊。
没人看治理论坛的时候,「自治」可能就变成了「自助取款」...目测一大堆 DAO 后续会严加防范,杜绝这种合法卡 Bug 的行为。
点击图片查看原图