Solana tabanlı meme coin projesi BONK’un merkeziyetsiz yönetim yapısı, kripto piyasasında dikkat çeken bir saldırının hedefi oldu. BONK DAO hazinesinden yaklaşık 20 milyon dolar değerinde BONK token çıkarıldı. Saldırının en çarpıcı tarafı ise fonların klasik bir hack yöntemiyle değil, projenin kendi zincir üstü yönetişim sistemi kullanılarak taşınması oldu.
Olay, merkeziyetsiz otonom organizasyonların güvenlik yapısını yeniden tartışmaya açtı. Çünkü saldırgan sisteme dışarıdan zorla girmedi, akıllı sözleşmedeki bir açığı kullanarak kodu kırmadı. Bunun yerine yeterli oy gücünü satın aldı, teklif sundu, oylamayı geçirdi ve hazine transferinin otomatik şekilde gerçekleşmesini sağladı.
Bu tablo, zincir üstü yönetişim modellerinde uzun süredir konuşulan zayıf noktayı görünür hale getirdi. Bir DAO hazinesi, geçici olarak çoğunluk sağlayan bir aktör tarafından kontrol edilebiliyorsa, güvenlik seviyesi teknik altyapı kadar oy gücünün satın alınma maliyetine de bağlı hale geliyor.
Saldırı bir haftalık hazırlığın ardından geldi
Sürecin başlangıcı 30 Haziran’a uzanıyor. Chainalysis tarafından aktarılan bilgilere göre anonim bir cüzdan, BONK DAO hazinesindeki tokenların kendi kontrolündeki bir adrese aktarılmasını öngören bir teklif sundu. Teklifin yürürlüğe girebilmesi için BONK arzının yüzde 1’ine denk gelen asgari katılım eşiğinin aşılması gerekiyordu.
Bu eşik, saldırının merkezindeki kritik nokta oldu. Saldırganın yalnızca teklif sunması yeterli değildi; oylamayı geçirecek büyüklükte BONK tokena da sahip olması gerekiyordu. Bu nedenle saldırgan, 4 ve 5 Temmuz tarihlerinde farklı bir cüzdan üzerinden piyasadan büyük miktarda BONK toplamaya başladı.
Lookonchain verilerine göre saldırgan, Bybit ve Binance üzerinden yaklaşık 4,4 milyon dolar harcayarak yeterli miktarda BONK satın aldı. Bazı hesaplamalara göre bu süreçte DeFi borç verme platformlarından da ek kaynak kullanıldı. Böylece saldırgan, teklifin geçmesi için gereken oy gücünü neredeyse tam sınırda oluşturdu.
Yedi cüzdan oy kullandı, 18 binden fazla üye katılmadı
“BIP #76 - Sowellian BonkDAO” başlığıyla sunulan teklif, oldukça düşük katılımla kabul edildi. Oylamada yalnızca yedi cüzdan oy kullandı. Buna karşılık 18 binden fazla BONK DAO üyesi oylamaya katılmadı.
Katılım oranı yüzde 2,9 seviyesinde kaldı. Buna rağmen teklif, quorum olarak bilinen asgari katılım eşiğini çok küçük bir farkla geçti. Kabul yönünde kullanılan oy miktarı 882,38 milyar BONK oldu. Gerekli eşik ise 879,95 milyar BONK seviyesindeydi.
Bu fark, saldırganın günler boyunca topladığı oy gücüyle neredeyse birebir örtüştü. Oylama sonucunda “evet” oranı yüzde 99,9’a ulaştı. Ancak bu yüksek oran, geniş bir topluluk mutabakatından çok, tek bir güçlü aktörün kendi teklifini onaylaması anlamına geldi.
Teklif metni de dikkat çekti. Metinde hazinenin yeniden yapılandırılacağı, varlıkların gelir yaratacak şekilde kullanılacağı ve kayıpların durdurulacağı gibi ifadeler yer aldı. Ayrıca “evet” oyu kullananların token almaya hak kazanacağına dair bir ifade de bulundu. Fakat teklifin asıl sonucu, 4,43 trilyon BONK’un saldırganın cüzdanına aktarılmasıydı.
20 milyon dolarlık transfer otomatik gerçekleşti
6 Temmuz’da saldırgan, elindeki tüm oy gücünü teklif lehine kullandı. Teklifin geçmesinin ardından yaklaşık 20 milyon dolar değerinde BONK token, DAO hazinesinden saldırganın cüzdanına otomatik olarak transfer edildi.
Bu noktada manuel bir onay süreci devreye girmedi. Zincir üstü yönetişim sisteminin tasarımı gereği, teklif gerekli şartları sağladığı için işlem doğrudan uygulandı. Bu da saldırının teknik açıdan neden bu kadar tartışmalı olduğunu gösterdi.
Chainalysis’e göre transferden yaklaşık dokuz saat sonra 188 bin dolar civarında varlık bir borsaya gönderildi. Bu işlemin nakde dönüş amacı taşıdığı değerlendirildi. Kalan yaklaşık 19 milyon dolarlık varlık ise çoklu imza gerektiren bir cüzdana aktarıldı.
Saldırgan ayrıca saldırıyı gerçekleştirmek için topladığı BONK tokenları da elden çıkarmaya başladı. Hazine boşaltıldıktan yaklaşık bir saat sonra 5,3 milyon dolar değerinde BONK satıldı. Böylece saldırgan, oylama gücü elde etmek için aldığı tokenları piyasaya boşaltırken, DAO hazinesinden gelen tokenları ayrı bir cüzdanda tuttu.
Güney Kore borsalarından BONK için inceleme
Saldırının ardından Güney Kore piyasasında da risk algısı hızla arttı. Ülkenin üç büyük kripto para borsası Upbit, Bithumb ve Coinone, BONK meme coin’ini inceleme listesine aldı. Bu karar, borsaların güvenlik olayı sonrasında tokenın işlem desteğini yeniden değerlendirebileceği anlamına geliyor.
BONK fiyatı baskı altında kaldı
Saldırının ardından BONK fiyatında da geri çekilme görüldü. Verilere göre token son 24 saatte yaklaşık yüzde 7 değer kaybetti. Bu düşüş, hem hazine kaybının yarattığı güven sorununu hem de saldırganın piyasaya yaptığı satışları yansıttı.
BONK DAO olayın ardından saldırıyı doğruladı. Proje ekibi, saldırının kötü niyetli bir yönetişim teklifi üzerinden gerçekleştiğini açıkladı. Açıklamada, oylama öncesinde token alımında kullanılan borsa cüzdanlarının tespit edildiği belirtildi.
BONK DAO ayrıca borsalar, köprü protokolleri ve Solana Foundation ile birlikte sürecin yönetilmesi için çalıştığını bildirdi. Hukuki ve teknik takip sürecinin nasıl ilerleyeceği ise henüz netleşmedi.



