想像一下你住的社區有個「居民投票」制度,大家透過投票決定公共預算怎麼花。有一天,有人偷摸進社區,用你的投票權跟幾張假身分證,投了一張「撥款給我自己」的提案,結果全社區通過了——錢就這麼被洗走了。這不是電影情節,而是 BonkDAO 最近真實發生的故事。

Bonk 這個知名迷因幣(memecoin)的 DAO 組織最近公佈:他們遭人利用「惡意治理提案」盜走大約 2000 萬美元。開發團隊說已經通知執法單位,目前正全力追蹤資金流向、追查兇手。表面上聽起來是駭客攻擊,但仔細看事件本質,其實是一場「合法程序下的非法劫掠」。

一筆「合法」的提款

治理提案(governance proposal)對 DAO 來說就像民主社會的立法程序——持有治理代幣的成員可以提案、投票,決定 DAO 金庫裡的錢怎麼花。理論上,這是去中心化自治的核心精神:沒有老闆,只有共識。

問題出在什麼地方?

惡意提案通常有幾種手法。第一種是「囤積代幣」——攻擊者在投票前大量买入治理代幣,取得足夠投票權後才提出提案。第二種是「利用漏洞」——某些 DAO 的投票機制允許在提案通過後立即執行,沒有等待期,也沒有二次確認機制。第三種是「技術漏洞」——智能合約本身的邏輯缺陷,讓提案可以直接繞過安全檢查。

BonkDAO 這次的事件,開發團隊用「malicious governance proposal」這個說法,暗示攻擊者很可能利用了上述某種或多種手法。錢被轉走的方式,是透過 DAO 金庫的治理權限,而不是駭入某個交易所。

這個「合法」的漏洞,對你我有什麼影響

如果你持有任何 DAO 的治理代幣,這件事情跟你其實很有關係。

首先,你的投票權可能成為被利用的工具。如果攻擊者囤積代幣、取得多數投票權,你的投票根本沒有任何意義——提案早就被通過了。

其次,DAO 金庫的安全機制需要重新檢視。很多早期 DAO 的治理設計相當粗糙,投票通過後直接執行,沒有防呆機制。BonkDAO 應該會在事件後升級治理機制,比如加入時間鎖(time lock)、多重簽名、或是對大額提款增加額外確認步驟。

最重要的一點:去中心化不等於「沒人負責」。BonkDAO 已經通知執法單位並積極追查,這顯示 DAO 開發者開始正視治理安全問題。過去幾個月,還有其他 DAO 遭遇類似的治理攻擊事件,如果這個趨勢持續下去,我們可能會看到更完善的 DAO 治理框架出現。

總結

BonkDAO 的 $2000 萬事件提醒我們一件事:去中心化治理不是萬靈丹。投票機制再民主,如果防呆機制不夠,還是會被有心人利用。對參與者來說,現在是時候認真檢視自己持有的 DAO 治理代幣是否安全、投票機制是否健全。去中心化是個很美的概念,但執行起來,細節才是魔鬼。

延伸思考與常見問題

  • DAO 到底是什麼?它和一般公司有什麼不同?
  • 什麼是治理提案?為什麼它可以決定 DAO 金庫的錢怎麼花?
  • 智能合約是什麼?為什麼它會成為被攻擊的對象?