Le 7 juillet 2026, BonkDAO — la DAO qui gouverne l'écosystème du memecoin BONK sur Solana — a confirmé une attaque de gouvernance ayant drainé environ 20 millions de dollars en BONK de sa trésorerie. L'attaquant n'a touché à aucune ligne de code de contrat intelligent ; il a simplement acheté assez de pouvoir de vote pour faire passer une proposition malveillante transférant les fonds vers lui-même.
Ce qui s'est passé
L'exploit a subverti le vote on-chain de BonkDAO sur la plateforme de gouvernance Realms. Pendant plusieurs jours, l'attaquant a discrètement accumulé des BONK via des portefeuilles d'exchange — environ 4 millions de dollars d'achats sur le marché libre, selon les estimations — constituant assez de poids de vote pour forcer une proposition sans alerter la communauté.
La proposition malveillante, qui autorisait le transfert d'environ 4,426 billions de BONK depuis la trésorerie de la DAO, est restée active pendant environ six jours. La participation était quasi inexistante : seules sept adresses de portefeuille ont finalement voté, et les portefeuilles liés à l'attaquant contrôlaient environ 99,878 % de ce vote. Le quorum étant de fait capté, la proposition est passée sans encombre et les jetons de la trésorerie ont été envoyés vers un portefeuille contrôlé par l'attaquant.
Conséquences
- Le prix de marché du BONK a chuté d'environ 8-9 % à mesure que la nouvelle du drainage se répandait.
- BonkDAO a déclaré se coordonner avec la Solana Foundation et les exchanges centralisés pour suivre et geler les actifs volés, et avoir prévenu les forces de l'ordre.
- Aucun fonds n'avait été récupéré au moment de la rédaction ; le statut reste volé.
Pourquoi c'est important
L'incident BonkDAO est une prise de contrôle de la gouvernance de manuel — la même classe d'attaque que Beanstalk, où un attaquant a utilisé un pouvoir de vote emprunté pour faire passer une proposition intéressée, et que la prise de contrôle des contrats de gouvernance de Tornado Cash via une proposition malveillante. Contrairement à une attaque de gouvernance par flash loan, cependant, la prise de contrôle de BonkDAO n'a nécessité aucun exploit : l'attaquant a payé de l'argent réel pour des votes réels sur le marché libre, n'exploitant rien d'autre qu'une participation apathique et un quorum faible.
Cela en fait un avertissement structurel plutôt qu'un rapport de bug. Quand seuls sept portefeuilles votent sur une proposition capable de déplacer une trésorerie, le modèle de sécurité n'est pas le code — c'est la participation des votants, et elle a ici totalement échoué. Les leçons font écho à Mango Markets : les trésoreries gouvernées par des jetons de gouvernance peu nombreux, liquides et achetables sur le marché ne sont qu'à une accumulation bon marché d'être votées hors d'existence. Des défenses sérieuses — timelocks sur les transferts de trésorerie, seuils de quorum planchers et fenêtres d'exécution différées laissant à la communauté le temps de réagir — font la différence entre une proposition suspecte repérée et une trésorerie vidée.
Sources & preuves on-chain
- [01]coindesk.comhttps://www.coindesk.com/markets/2026/07/07/bonk-faces-usd20-million-treasury-drain-after-attacker-spends-usd4-million-to-pass-malicious-proposal
- [02]therecord.mediahttps://therecord.media/attackers-vote-themselves-20-million-bonk-crypto
- [03]news.bitcoin.comhttps://news.bitcoin.com/bonkdao-treasury-loses-20m-in-malicious-governance-attack-bonk-slides-8/
- [04]cryptobriefing.comhttps://cryptobriefing.com/bonkdao-hacked-20m-malicious-proposal/