Styrningsattacker: En Översikt
Den 6 juli 2026 spenderade någon cirka fyra miljoner dollar på att köpa BONK-token, vilket användes för att kontrollera nästan hundra procent av en omröstning med sju plånböcker. Angriparen gick lagligt iväg med tjugo miljoner dollar från DAOs kassa. Ingen kod hackades; omröstningen fungerade precis som avsett. Här är hur styrningsattacker fungerar, varför de blir vanligare och vad som faktiskt kan stoppa dem.
Vad är en Styrningsattack?
De flesta kryptovaluta-stölder involverar en bugg i smarta kontrakt, en stulen nyckel eller en förfalskad webbplats. En styrningsattack bryter inte mot några regler. Den använder en decentraliserad organisations eget röstningssystem, precis som avsett, för att godkänna ett förslag som ger angriparen tillgång till kassan. Koden fungerar felfritt, och reglerna följs till punkt och pricka. Ändå lämnar pengarna kassan, eftersom reglerna själva tillåter det.
”I ett system där pengar röstar, kan den som kan hyra tillräckligt med röster skriva om reglerna.”
Fallet BonkDAO
Det var vad som hände BonkDAO den 6 juli 2026. En angripare köpte tyst ungefär fyra miljoner dollar av BONK-token på börser under flera dagar, ackumulerade en dominerande andel av röstningsmakten och lämnade in ett förslag till DAOs kassa. När omröstningen stängdes kontrollerade plånböcker kopplade till angriparen cirka 99,878 procent av de avgivna rösterna. Förslaget godkändes, och omkring tjugo miljoner dollar i BONK drogs från kassan till angriparkontrollerade plånböcker.
Varför Blir Styrningsattacker Vanligare?
Styrningsattacker blir allt vanligare just för att de inte kräver någon elit teknisk kompetens, utan bara kapital och ett dåligt skyddat röstningssystem. Många DAOs, särskilt memecoin-projekt med stora kassor, har just sådana system. Denna guide förklarar vad en styrningsattack är, går igenom BonkDAO-fallet i detalj, täcker de viktigaste varianterna, inklusive flash-låneversionen som inte behöver något förhandskapital, och undersöker historiska exempel från Beanstalk till Compound och Tornado Cash.
Hur Styrningsattacker Genomförs
En styrningsattack förvandlar den öppenheten till ett vapen. Istället för att hitta en bugg i DAOs kod, skaffar angriparen tillräckligt med röstningsmakt genom helt legitima medel, vanligtvis genom att köpa styrningstoken, och använder sedan den makten för att godkänna ett förslag som gynnar angriparen på bekostnad av alla andra, oftast genom att överföra kassan till sig själva.
Exempel på Styrningsattacker
Juli 2026 BonkDAO-attacken är en nästan perfekt illustration, eftersom den inte använde något utnyttjande alls och varje steg var synligt på kedjan. Upplägget var tålmodig ackumulering. Under flera dagar köpte angriparen ungefär fyra miljoner dollar av BONK med hjälp av börsplånböcker, och byggde röstningsmakten gradvis istället för i ett iögonfallande köp.
Försvar mot Styrningsattacker
Det finns flera försvar som kan implementeras för att skydda mot styrningsattacker:
- Tidslås: Ett tidslås ålägger en obligatorisk fördröjning mellan ett förslag som godkänns och dess genomförande.
- Kvorumkrav: Ett kvorum sätter en minimi mängd röstningsdeltagande för att ett förslag ska godkännas.
- Nödkontroller: En multisignaturkontroll över stora kassaöverföringar kan stoppa en dränering även efter att en omröstning har godkänts.
- Begränsningar: Att begränsa vad styrning kan göra krymper priset och minskar incitamentet att attackera.
Slutsats
Den bredare kontexten är att styrning blir ett större mål när DAOs håller mer värde. Memecoin-gemenskaper har särskilt ackumulerat betydande kassor, ofta denominerade i volatila token vars värde kan svänga kraftigt, samtidigt som de kör de enklaste möjliga röstningssystemen. Kombinationen av ett rikt pris bakom ett svagt lås är precis vad angripare söker.
En styrningsattack är när någon skaffar tillräckligt med röstningsmakt i en DAO, vanligtvis genom att köpa dess styrningstoken, och använder den makten för att godkänna ett förslag som gynnar dem på gemenskapens bekostnad, typiskt genom att dränera kassan. Detta är varför styrningsattacker inte kan förhindras av bättre kodgranskningar ensamma; de kräver förändringar i röstningsmekanismen.