هجوم حوكمة BONK: كيف خسرت DAO 20 مليون دولار في اقتراح واحد

في السابع من يوليو، تعرضت خزينة منظمة “بونكDAO” (المنظمة المجتمعية المسؤولة عن عملة بونك الميم المشهورة على شبكة سولانا) لاختراق غير مسبوق. لم يكن هناك أي خطأ في العقود الذكية، ولم يتم تسريب أي مفاتيح خاصة، ولم يتم استخدام أي روابط تصيد. كل ما حدث هو أن المهاجم اشترى السيطرة على نظام الحوكمة الخاص بالمنظمة مقابل حوالي 4.4 مليون دولار، واستخدمها لسرقة ما قيمته 20 مليون دولار من عملات BONK. هذه الحادثة كشفت عن حقيقة غير مريحة في عالم العملات الرقمية: خزينة أي منظمة لامركزية (DAO) التي تعتمد على نظام التصويت القائم على عدد الرموز التي يمتلكها كل عضو، ليست في الحقيقة ملكاً لأعضائها، بل هي “مستأجرة” بأقل سعر يمكن أن يدفعه أي مهاجم للحصول على أغلبية الأصوات.
كيف حدث الاختراق؟ قصة تصميم خاطئ
لم يكن الهجوم سريعاً أو مخفياً. في 30 يونيو، قدم شخص مجهول مقترحاً (رقم BIP #76) في نظام الحوكمة الخاص ببونكDAO. ادعى المقترح أنه خطة لإعادة هيكلة المنظمة، لكنه في الحقيقة كان يأمر بتحويل الجزء الأكبر من خزينة المنظمة (4.43 تريليون رمز BONK) إلى محفظة يملكها مقدم المقترح. بقي المقترح متاحاً للتصويت لمدة ستة أيام كاملة. خلال هذه الفترة، اشترى المهاجم عملات BONK بقيمة 4.4 مليون دولار من خلال عدة محافظ لزيادة قوته التصويتية. وعندما انتهى التصويت في 6 يوليو، كانت نسبة المشاركة 2.9% فقط من أكثر من 18,000 عضو. وبنسبة موافقة بلغت 99.9%، تم تنفيذ التحويل تلقائياً لأن النظام (المبني على أداة Realms الخاصة بسولانا) تم تصميمه لتنفيذ أي مقترح ينجح دون أي تأخير أو مراجعة بشرية.
لماذا نجح الهجوم؟ الدروس المستفادة
يُظهر هذا الهجوم أن المشكلة ليست تقنية بقدر ما هي مشكلة في التصميم والقواعد. هناك ثلاثة أشياء كانت ستوقف الهجوم أو تجعله أصعب بكثير:
- مؤقت زمني (Timelock): لو كان هناك تأخير إجباري لمدة 48 ساعة بين موافقة المقترح وتنفيذه، لكان لدى المجتمع وقت للرد.
- سلطة الفيتو (Veto): لو كان هناك مجلس أو مجموعة من الموقعين الموثوقين يمكنهم إيقاف أي عملية مريبة، لكان قد تم إيقاف التحويل.
- نظام تصويت أفضل: النظام الحالي يسمح لأي شخص يمتلك حوالي 1% من عملات المنظمة بالسيطرة على التصويت لأن أغلبية الأعضاء لا يشاركون. هذا يجعل التكلفة (4.4 مليون دولار) أقل بكثير من الجائزة (20 مليون دولار).
هل كانت سرقة أم قواعد لعبة؟ صراع فلسفي
أثارت الحادثة نقاشاً كبيراً في الوسط. فريق يقول إنه لم تكن هناك سرقة لأن المهاجم اتبع كل القواعد. لقد فاز بتصويت عام ومشروع، والأعضاء الذين لم يصوتوا هم المسؤولون عن خسارة أموالهم. الفريق الآخر يقول إنه احتيال واضح لأن المقترح كان خادعاً ويهدف لسرقة الخزينة، ويجب أن تتدخل القوانين التقليدية لاستعادة الأموال. هذا النقاش مهم لأنه يحدد إذا كان يجب الدفاع عن الأنظمة اللامركزية من خلال القانون أو فقط من خلال تحسين كود الحوكمة نفسه.
ماذا يعني هذا لبقية العملات والمنظمات اللامركزية؟
الدرس الأكبر هو أن كل منظمة لامركزية لديها خزينة (Treasury) يجب أن تسأل نفسها السؤال التالي: ما هي تكلفة شراء أغلبية الأصوات؟ إذا كانت هذه التكلفة أقل من قيمة الخزينة، فهذه المنظمة معرضة للاختراق. يجب على الجميع الآن إضافة تأخيرات زمنية، ومجالس فيتو، وأنظمة تصويت أكثر أماناً. الشركات التي تفعل ذلك ستكون أكثر أماناً. والشركات التي لا تفعل ستكون التالية في قائمة الضحايا.
وضع عملة BONK الحالي
بعد الحادثة، انخفض سعر عملة BONK بنسبة 8-10% لكنه استقر بعد ذلك. البورصات المركزية مثل Upbit أوقفت عمليات الإيداع والسحب لعملة BONK للمساعدة في التحقيقات. لم يتم سرقة أي محفظة مستخدم عادي، لكن خزينة المنظمة التي كانت تمثل حوالي 15% من إجمالي العملات الموجودة تم تحويلها. يبقى السؤال: هل ستتعافى المنظمة؟ الإجابة تعتمد على نجاح التحقيقات في استعادة الأموال ونجاح المنظمة في تغيير قواعدها الحوكمة لتصبح أكثر أماناً.
الخلاصة: الدرس المجاني
قصة بونكDAO هي درس مجاني ولكنه مؤلم لكل من يملك أو يدير منظمة لا مركزية. الخزينة التي تديرها حوكمة ضعيفة ليست ملكاً للمجتمع. هي مؤجرة لمن يستطيع دفع ثمن الإيجار. وبالنسبة لـ18,000 عضو لم يصوتوا، فإن ثمن عدم المشاركة كان 20 مليون دولار.
الأسئلة الشائعة (FAQs)
1. كيف تمكن المهاجم من سرقة 20 مليون دولار من منظمة بونكDAO دون اختراق أي كود برمجي؟
المهاجم لم يخترق أي تقنية. لقد استغل ضعفاً في “القواعد” وليس في “الكود”. قام بشراء كمية من عملات BONK تعادلت مع أقل عدد من الأصوات المطلوبة لقبول المقترح (نصاب التصويت). ثم قدم مقترحاً خادعاً ينص على تحويل الخزينة إلى محفظته، وانتظر 6 أيام حتى تم التصويت. ولأن أصواته كانت كافية وعدد الأعضاء المشاركين قليل جداً (2.9%)، تم تنفيذ التحويل تلقائياً بدون تدخل بشري.
2. هل ستخسر عملة البونك (BONK) قيمتها بسبب هذه الحادثة؟ هل تم اختراق محافظي الشخصية؟
تم اختراق خزينة المنظمة فقط، وليس أي من محافظ المستخدمين العاديين. لذلك، عملة BONK نفسها آمنة من الناحية التقنية. انخفض السعر بنسبة بسيطة (8-10%) لكنه استقر. المشكلة الحقيقية هي أن خزينة المنظمة التي كانت تستخدم لتمويل مشاريع ومكافآت المجتمع أصبحت في أيدي شخص قد يبيعها، مما قد يضغط على السعر في المستقبل إذا تم بيعها بكميات كبيرة.
3. ما هو الدرس الأهم الذي يجب أن تتعلمه جميع مشاريع العملات الرقمية من حادثة بونكDAO؟
الدرس هو أن “أمن الحوكمة” أهم من “أمن الكود”. أي منظمة لامركزية لديها خزينة كبيرة يجب أن تضيف طبقات حماية إضافية مثل: مؤقت زمني قبل تنفيذ أي تحويل كبير، ومجلس فيتو يمكنه إيقاف العمليات المشبوهة، وتصميم نظام تصويت يمنع أي شخص من السيطرة على القرارات بسهولة. الأهم من كل ذلك، يجب أن يشارك الأعضاء في التصويت، لأن اللامبالاة هي أسهل طريق لخسارة الأموال.












