David Schwartz, CTO Emérito de Ripple, afirmó que el drenaje de 20 millones de dólares de la tesorería de BONK DAO podría considerarse fraude corporativo, aunque el atacante utilizó el sistema de gobernanza on-chain del proyecto para aprobar la transferencia.
El ataque se centró en una propuesta de gobernanza maliciosa que movió unos 4,42 billones de tokens BONK desde la tesorería de la DAO a una billetera controlada por el atacante. La transferencia siguió a una votación con baja participación, en la que el atacante utilizó una mayoría de voto temporal para aprobar la propuesta.

BONK, una memecoin basada en Solana, cayó aproximadamente un 7 % tras el incidente. BONK DAO ha descrito el evento como una propuesta de gobernanza maliciosa y declaró que está trabajando con exchanges, puentes y la Fundación Solana.
El ataque comenzó cuando una billetera anónima presentó la propuesta BIP #76, que incluía una instrucción para transferir los tokens BONK de la tesorería a la billetera del atacante. La propuesta necesitaba votos afirmativos equivalentes al 1 % del suministro de BONK para ser aprobada.
Según el análisis on-chain citado en los informes, el atacante gastó unos 4,4 millones de dólares comprando BONK a través de exchanges como Binance y Bybit. Algunos informes también indicaron que el atacante utilizó plataformas de préstamo DeFi para aumentar su poder de voto.
Solo siete billeteras votaron en la propuesta, mientras que más de 18.000 miembros no participaron. La participación fue de aproximadamente el 2,9 %, lo que permitió que la billetera del atacante aprobara la propuesta con casi todos los votos a favor.
La votación superó el quórum por un estrecho margen, con 882.380 millones de BONK a favor frente a un umbral de 879.950 millones. Después de que la propuesta fuera aprobada, la transferencia de la tesorería se ejecutó automáticamente.
David Schwartz señaló que el incidente no debe descartarse como un uso legal de las reglas on-chain. Argumentó que los participantes de la DAO pueden seguir teniendo deberes al gestionar activos compartidos.
Schwartz caracterizó el drenaje como fraude corporativo porque los participantes de la DAO pueden actuar como fiduciarios al controlar fondos comunes de la tesorería. Su opinión era que una ejecución válida del código no elimina la responsabilidad legal si los activos compartidos son utilizados indebidamente a sabiendas.
También dijo que los tribunales estatales generalmente no aceptan la defensa de “el código es ley” cuando los activos son apropiados indebidamente. Esa posición desafía el argumento de que el atacante simplemente siguió las reglas del contrato inteligente.
La cuestión sigue siendo legalmente compleja porque cada paso de la transacción ocurrió a través del proceso de gobernanza del proyecto. Sin embargo, BONK DAO y las empresas de análisis han tratado el evento como un ataque, y se ha informado de la participación de las fuerzas del orden.
Después de que la propuesta fuera aprobada, unos 20 millones de dólares en BONK se trasladaron desde la tesorería de la DAO a la billetera controlada por el atacante. Los informes indicaron que posteriormente se enviaron unos 188.000 dólares a un exchange, probablemente para actividades de conversión a efectivo.
El monto restante se movió a una billetera multisig, según Chainalysis. Una billetera multisig requiere más de una aprobación antes de que los fondos puedan moverse.
El atacante también vendió los BONK utilizados para obtener el control de voto. Los informes indicaron que se vendieron unos 5,3 millones de dólares worth de los BONK comprados después de la transferencia de la tesorería.
Esa secuencia dejó al atacante con el control de los tokens drenados de la tesorería, mientras eliminaba gran parte de la participación de voto utilizada para aprobar la propuesta. El caso ha aumentado el escrutinio sobre las DAOs que dependen de la votación mediante tokens sin controles de seguridad más robustos.
El incidente de BONK DAO ha reabierto el debate sobre la gobernanza ponderada por tokens. Una tesorería puede volverse vulnerable cuando un comprador temporal de tokens puede adquirir barato suficiente poder de voto para aprobar una propuesta dañina.
El ataque también expuso riesgos relacionados con la baja participación. Un pequeño grupo de billeteras votantes puede controlar decisiones importantes si el quórum es bajo y las salvaguardas son débiles.
Las protecciones comunes incluyen bloqueos temporales, umbrales de quórum más altos, derechos de veto de emergencia, períodos de revisión de propuestas y límites en las transferencias de la tesorería. La transferencia de BONK DAO se ejecutó sin suficiente demora para prevenir el drenaje.
La publicación El CTO Emérito de Ripple dice que el drenaje de la tesorería de BONK DAO podría ser fraude corporativo apareció primero en CoinCentral.

