6 Temmuz’da, bir saldırgan yaklaşık 4,4 milyon dolar harcayarak BONK token’ı satın aldı ve oy gücünü artırdı. Ardından tek bir yönetişim teklifini geçirerek BonkDAO hazinesinden 20 milyon dolarlık varlık çekti. Bu süreçte herhangi bir kod açığı ya da akıllı sözleşme istismarı yaşanmadı. Saldırı tamamen finansal bir hamleyle gerçekleşti: Yeterli miktarda token alınıp oy çoğunluğu sağlandı ve hazine transferi için oy kullanıldı. Saldırgan, 4,4 milyon dolarlık maliyetle 20 milyon dolar elde ederek yaklaşık 4,5 kat getiri sağladı.
Fiyat açısından kritik olan ise saldırganın token’ları elinde tutmaması, satması oldu.
18 Temmuz’da zincir üstü analizler, saldırganın cüzdanından 400 milyar BONK’un yaklaşık 1,19 milyon dolar değerle Coinbase’e aktarıldığını tespit etti. Bu transferin ardından BONK fiyatı yaklaşık -%7 geriledi. Bu, saldırganın yaptığı ilk transfer değildi. Saldırganın cüzdanlarından borsalara toplamda yaklaşık 1,626 trilyon BONK token’ı aktarıldı. Satışlar panik halinde değil, planlı bir şekilde ve tasfiye amacıyla gerçekleştiriliyor.
Yönetişim Gücünün Satın Alınabilirliği
Bu tür yönetişim saldırıları kripto ekosisteminde yeni değil. Ancak BonkDAO örneği, yapısal zafiyeti farklı bir açıdan ortaya koyuyor. Çoğu yönetişim istismarı, yazılım hatalarına, açıklarına veya delege yoğunlaşmasına dayanırken, bu saldırıda bunların hiçbiri gerekmiyordu. Saldırgan için yeterince düşük bir oy tabanı ve uygun fiyatlı bir token olması, 4,4 milyon doların çoğunluğu elde etmek için yeterliydi.
Bu mekanizma, protokol varlıklarını korumak için tasarlanan yönetişimi bir açık artırmaya dönüştürüyor. Oylama anında en fazla oy gücünü satın alabilen taraf, sonucu belirliyor. Token yeterince likit ve oy çoğunluğu eşiği düşükse, matematik saldırganın lehine işliyor.
BonkDAO’nun oy çoğunluğu ve oylama mekanizması, sermaye açısından güçlü bir aktörün topluluk direnci olmadan teklif geçirmesine olanak tanıdı. Kamuya açık şekilde, başka büyük yatırımcıların teklife karşı oy kullandığına dair bir kanıt bulunmuyor. Bu durum, ya o dönemde farkındalığın düşük olduğunu ya da acil veto mekanizmasının bulunmadığını gösteriyor.
Sermaye Akışının İzlediği Yol
Saldırganın izlediği yol net: Önce borsalardan veya OTC piyasasından piyasa fiyatıyla BONK alındı. Ardından bu token’lar oy gücü olarak kullanılarak hazineyi boşaltan teklif geçirildi. Sonrasında 20 milyon dolar değerinde BONK cüzdana aktarıldı. Son adımda ise çalınan token’lar borsalara gönderilip piyasa emirleriyle satıldı.
Ancak her satış adımı, saldırganın elinde kalan token’ların fiyatını da aşağı çekiyor. Bu nedenle, 262 milyon dolar civarında piyasa değerine sahip bir token’da 20 milyon dolarlık satış tek seferde yapılamıyor. Satışlar kademeli olarak gerçekleştiriliyor. Coinbase’e yapılan tekrar eden transferler de bu nedenle tek seferlik bir tasfiye değil, sürdürülebilir bir satış baskısına işaret ediyor.
Saldırganın elindeki toplam oy token’ı ve hazine ganimeti, dolaşımdaki arzın kayda değer bir bölümünü oluşturuyor. Bu kadar sığ bir piyasada kademeli satışlar bile fiyat üzerinde ciddi baskı yaratıyor.
Satış Baskısını Kim Karşılıyor?
Buradaki asıl soru, saldırganın satış yapıp yapmadığı değil, bu satışların karşı tarafında kimin olduğu. Coinbase listelemesi, BONK’a spot alıcılar, bireysel yatırımcılar ve potansiyel olarak marjin pozisyonları üzerinden erişim sağlıyor. Bu da bir miktar absorbe kapasitesi yaratıyor. Ancak mevcut piyasa koşullarında – Kripto Korku & Açgözlülük Endeksi 28 seviyesinde ve piyasa değeri 2,21 trilyon dolara gerilemiş durumda – spekülatif token’lar ilk satış baskısı gören varlıklar arasında yer alıyor.
Saldırganın borsalara aktardığı toplam 1,626 trilyon BONK, yaklaşık 20 milyon dolarlık hazine boşaltımının bir kısmını oluşturuyor. Kalan token’lar hâlâ cüzdanlarda tutuluyor; bu da satış baskısının henüz sona ermediğini gösteriyor.
DAO Güvenliği Açısından Ne Anlama Geliyor?
BonkDAO’daki bu istismar, bir istisna değil, bir stres testi sonucu olarak öne çıkıyor. Yönetişim güvenliğinin – yani token sahiplerinin hazine varlıklarını koruyacağı varsayımının – oyu kontrol etmenin maliyeti, oylanan varlığın değerinden düşük olduğunda çöktüğünü gösteriyor. Bu tamamen aritmetik bir zafiyet. Hazine değeri, çoğunluğu elde etme maliyetini aştığında saldırı kârlı hale geliyor.
Protokoller, oy çoğunluğu eşiğini yükselterek, zaman kilidi ekleyerek, çoklu imza katmanlarıyla veya merkeziyetsiz delege yapılarıyla bu maliyeti artırabilir. Ancak her biri, yönetişimin hızlı tepki verme kapasitesini azaltıyor. Ekosistem henüz bu dengeyi tam olarak sağlayabilmiş değil.
Yakından Takip Edilmesi Gerekenler
Kalan cüzdan bakiyeleri: Saldırganın elinde hâlâ borsalara aktarılmamış çalıntı BONK bulunuyor. Soğuk cüzdandan borsa adresine yapılacak büyük transferler, yeni satışların öncü göstergesi olabilir.
Coinbase BONK işlem hacmi ve emir derinliği: Borsa hacmi satış baskısını karşılayamazsa, fiyat üzerindeki aşağı yönlü baskı hızlanabilir. Özellikle transfer dönemlerinde Coinbase emir defteri derinliği izlenmeli.
BonkDAO yönetişim değişiklikleri: Protokolün oy mekanizmasında – daha yüksek çoğunluk, zaman kilidi, acil durdurma gibi – bir güncelleme yapıp yapmayacağı, bu zafiyetin devam edip etmeyeceğini belirleyecek. Herhangi bir değişiklik yapılmazsa saldırı riski sürecek.
Zincir üstü cüzdan kümelenmesi: Saldırgan token’ları daha az sayıda cüzdanda toplarsa, daha büyük bir tasfiye hazırlığı olabilir. Parçalara ayırırsa, birden fazla satış kanalı planlanıyor olabilir.
BonkDAO hazinesinin boşaltılması bir hack değil, arbitraj işlemi olarak öne çıkıyor. Saldırgan, kontrol maliyetinin varlık değerinden düşük olduğu bir yönetişim yapısı buldu ve bunu uyguladı. Piyasaya yapılan satışlar ise bu işlemin ikinci aşamasını oluşturuyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com