BONK DAO, organisasi otonom terdesentralisasi yang mengatur memecoin BONK berbasis Solana, kehilangan dana treasury senilai sekitar $20 juta setelah seorang penyerang berhasil meloloskan proposal tata kelola berbahaya pada Senin malam (6/7). Serangan ini memanfaatkan celah dalam sistem voting berbasis token yang memungkinkan siapa pun dengan mayoritas voting sementara untuk menguras seluruh dana treasury.
Kronologi Serangan: Dari Proposal hingga Pengurasan
Menurut data dari Chainalysis dan Lookonchain, serangan dimulai pada 30 Juni ketika sebuah wallet anonim mengajukan proposal bernama "BIP #76 - Sowellian BonkDAO" yang berisi instruksi untuk mentransfer seluruh kepemilikan treasury BONK DAO ke wallet yang dikuasai penyerang. Agar proposal lolos, dibutuhkan suara "ya" setara dengan 1% dari total suplai token BONK sebagai kuorum minimum.
Pada 4-5 Juli, wallet terpisah yang diduga milik penyerang mengakuisisi tepat 1% suplai BONK dengan menghabiskan sekitar $4,4 juta melalui bursa Bybit dan Binance, serta meminjam dana tambahan melalui platform DeFi. Dengan hanya tujuh wallet yang berpartisipasi dari lebih 18.000 anggota DAO—tingkat partisipasi hanya 2,9%—proposal tersebut lolos dengan selisih sangat tipis: 882,38 miliar BONK suara setuju melawan ambang batas 879,95 miliar. Hasil akhir menunjukkan 99,9% suara "ya", yang secara efektif hanyalah satu pemilih yang setuju dengan dirinya sendiri.
Begitu proposal lolos, sekitar 4,43 triliun token BONK—senilai sekitar $20 juta—otomatis berpindah dari treasury ke wallet penyerang melalui eksekusi on-chain. Sekitar sembilan jam kemudian, $188.000 dikirim ke bursa untuk dicairkan, sementara sisanya sekitar $19 juta dipindahkan ke wallet multisig yang membutuhkan beberapa persetujuan untuk memindahkan dana.
Pergerakan Dana dan Dampak Harga
Lebih dari satu jam setelah pengurasan, penyerang mulai menjual token BONK yang dibeli untuk keperluan voting, melepas sekitar $5,3 juta. Mereka mempertahankan token treasury tetapi tidak mempertahankan stake yang telah dirakit untuk merebutnya. Harga BONK turun sekitar 7% dalam 24 jam terakhir pasca serangan, menurut data pasar.
BONK DAO telah mengkonfirmasi serangan ini melalui akun resmi X mereka, menggambarkannya sebagai "proposal tata kelola berbahaya" yang menguras estimasi $20 juta dari treasury. Tim pengembang menyatakan telah mengidentifikasi wallet bursa yang digunakan untuk membeli token sebelum voting dan sedang bekerja sama dengan bursa, jembatan lintas rantai (bridge), serta Solana Foundation untuk mengelola dampak serangan. Penegak hukum juga telah diberitahu dan investigasi sedang berlangsung.
Perdebatan: Pencurian atau Eksploitasi Aturan?
Insiden ini menghidupkan kembali perdebatan lama dalam komunitas kripto tentang apakah tindakan semacam ini merupakan pencurian atau sekadar eksploitasi aturan tata kelola yang lemah. Karena setiap langkah—pembelian token, voting, dan transfer treasury—adalah transaksi on-chain yang valid secara teknis, sejumlah pengamat berpendapat bahwa penyerang hanya mengeksploitasi desain governance yang cacat alih-alih "membobol" sistem. Namun, BONK DAO dan firma analitik blockchain seperti Chainalysis memperlakukan ini sebagai serangan dan telah melibatkan otoritas penegak hukum.
Pelajaran untuk Ekosistem DAO
Kasus BONK DAO menjadi pengingat pahit bagi ekosistem DeFi bahwa treasury yang dapat dikuras oleh siapa pun yang berhasil mengumpulkan mayoritas voting sementara hanya seaman biaya untuk membeli mayoritas tersebut. Dalam kasus ini, biaya $4,4 juta untuk mengakuisisi hak suara jauh lebih murah dibandingkan hadiah $20 juta yang berhasil dikuras. Dengan semakin banyaknya DAO yang mengelola dana bernilai jutaan hingga miliaran dolar, kebutuhan akan mekanisme keamanan tata kelola yang lebih ketat—seperti time-lock pada eksekusi proposal, persetujuan multi-signature, atau ambang kuorum yang lebih tinggi—menjadi semakin mendesak untuk mencegah insiden serupa terulang di masa depan.



