mt logoMyToken
ETH Gas
日本語

51%攻撃ならぬ「1%攻撃」──わずか1%の投票権で約2,000万ドルが動いたBonkDAO事件──ビットトレードマーケットレポート

収集collect
シェアshare

暗号資産の攻撃と聞くと、秘密鍵の流出やスマートコントラクトのバグを悪用した攻撃を想像するかと思います。少し詳しい人ならPoWが主流だった時代の51%攻撃が浮かぶかもしれません。これはネットワークの過半数(51%)を握られれば取引の巻き戻しや二重支払いが起こり得るという、ブロックチェーンそのものを狙う攻撃です。

しかし、直近の大きな資産が流出した事件において狙われたのはチェーンの合意形成ではなくDAOの投票でした。51%を握ったのではなく、DAOの投票で必要なわずか1%のラインを超えたことで約2,000万ドル相当のBONKが動いたと報じられています。

これはまさに「1%攻撃」とも言える攻撃です。

今回はそんなBONKで発生した事件について紹介していきます。
*本記事では、BonkDAO側の説明および主要報道に沿って、便宜上「攻撃」と表現します。

BonkDAOで起きた「1%攻撃」

BonkDAOは、Solana系のミームコインとして知られるBONKに関連するDAOです。2026年7月、このBonkDAOのトレジャリーから推定2,000万ドル相当のBONKが流出したと複数メディアが報じました。

CoinDeskによれば、攻撃者は約440万ドルを使ってBONK供給量の1%強を取得しました。BonkDAOは1%を満たすとDAOの行動を決定するガバナンス投票として成立させることができるため、トレジャリーから「約4.43兆BONKを攻撃者側のウォレットへ移す」ガバナンス提案を行い、この投票を通したとされています。提案は7つのウォレットで可決され、18,000人以上のメンバーは投票に参加しなかったとも言われています。

この事象の発生後、BonkDAO側は悪意あるガバナンス提案の被害を受けたと説明し、取引所やSolana Foundationなどと対応していると報じられています。

今回の攻撃は秘密鍵流出でもチェーン停止でもスマートコントラクトのバグでもなく、DAOのガバナンス提案が原因となりました。

DAOの仕組み

DAOは「みんなで管理する組織」と説明されることがあります。トークン保有者が提案に投票し、資金の使い道やプロジェクトの方針を決める。運営者だけに任せず、コミュニティやそのメンバーがプロジェクトの意思決定に参加できる仕組みです。

トークン投票は非常にシンプルでトークンが投票権になり、そのトークンが市場で買えるようになっています。これは会社の買収にも少し似ています。株式を集めれば経営への影響力が増します。株式は資産であり議決権でもあります。DAOのガバナンストークンも、資産であり投票権でもあります。

企業買収とDAO攻撃は同じではありませんが、資産を集めることで意思決定権が強くなる点は近いです。企業には法律や開示などのブレーキがあります。DAOでは投票期間、実行遅延、マルチシグ、緊急停止などを設計側で用意する必要があります。

低投票率が攻撃余地になる

多くの人が投票に参加できることと、多くの人が実際に投票に参加することは違います。投票ページが開かれていても、投票に来なければ意思決定には反映されません。今回問題の提案に投票したのは7つのウォレットで、18,000人以上のメンバーは投票しなかったとされています。

その為、ガバナンス提案し成立させるための1%を市場から集めてしまえば、無関心な有権者しかいない場合はその1%で成立が決まってしまいます。今回攻撃者は約440万ドル、全体供給の1%にあたる資金で、約2,000万ドルのトレジャリーの資産を引き出すことに成功してしまいました。

今回のBONKに限らず、もしガバナンス機能を持つ資産を持っている場合、コミュニティの投票の参加率には今後も注意を払った方が良いかもしれません。DAOによって投票権の仕組みや閾値も異なりますが、何事においてもしっかりと仕組みを見つめることが大事です。

過去にもあったガバナンス攻撃

今回の攻撃はBonkDAOだけの特殊な事件ではありません。DAOの投票や提案が攻撃経路になった事例は過去にもあります。

2022年のBeanstalkでは、攻撃者がAaveやUniswapなどから10億ドル超をフラッシュローンで借り、緊急ガバナンスを実行できるだけの投票力を一時的に得たと分析されています。被害額は約1.81億ドル規模でした。ここで使われたのは票をそのまま買う方法ではなく、短時間だけ票に相当する力を借りる方法でした。

Build Finance DAOでも、2022年に敵対的なガバナンス乗っ取りが報じられました。攻撃者が大量のトークンを集め提案を通し、DAOのトレジャリーやトークン発行権限を掌握したとされています。損失は約47万ドル相当でした。

Tornado Cashでも2023年に悪意ある提案によるガバナンス乗っ取りが報じられました。攻撃者は提案を通じて自分自身に大量の投票権を与え、既存の投票数を上回る形でガバナンスを掌握したとされています。投票者が見ていた内容と実行されるコードのズレも問題になりました。

分散型の仕組みとして大きく盛り上がっていた時期もありましたが、これが新たな脆弱性にもなり得ていることは事実として存在します。

コード監査だけでは守れない場所

DAOの安全性というと、スマートコントラクト監査や秘密鍵管理に目が行きます。それはもちろん必要です。ただ、BonkDAOのようなガバナンス攻撃では、コードが正しく動いているにも関わらず問題となっています。

投票ルールが正しく実行されれば、悪意ある提案も正しく実行されます。提案が通れば資金が動く設計なら、攻撃者はバグを探す必要がありません。必要な票を集めればいいからです。

そのため、DAOでは投票の仕組みそのものを重要なセキュリティとして扱う必要があります。大きな資金移動には実行までの待機時間を置く。急に増えた投票力を検知する。提案内容を人間が読める形にする。一定額以上のトレジャリー移動にはマルチシグや緊急停止を入れる。投票直前に買い集めたトークンの扱いも考える必要があります。

しかしこうした仕組みは、DAOらしさを少し重くします。誰でもすぐに提案して、通ればすぐ動くという軽さは失われます。それでも数十億円規模のトレジャリーを守るなら必要になるのではないかと思います。なぜなら1%だけで大きな金庫が動く可能性のある設計は、攻撃者から見れば損得を計算しやすい設計になっているからです。

DAOは今後も狙われる可能性がある

DAOの投票ルールは攻撃者にとって一つの攻撃の入口になります。

特に危ないのは、プロジェクトの勢いが落ちても、過去に積み上がったトレジャリーだけは残っているDAOです。トークン価格や流動性が下がると投票権を集めるコストは下がります。しかし金庫の中身がそのまま残っていれば、攻撃者から見た期待値はむしろ上がります。コミュニティの関心が薄れ、投票参加者も減っていれば、今回のように少ない票で提案が通る余地も大きくなります。

今回攻撃が発生して大きく報じられたことで、プロジェクトやDAOユーザーはその後しばらくは同様の事象が発生しないように気を引き締めるかと思います。しかし、時が経つと人は油断していきます。

仕組みによって発生を防ぐ構造であれば問題は無いかもしれません。しかし、健全なDAO運営を仕組みではなく人に依存しているようなDAOの場合は、この脆弱性と付き合い続ける必要があるかと考えられます。

※本記事は、公開情報をもとに暗号資産・ブロックチェーン関連ニュースを整理した一般的な情報提供であり、特定の暗号資産の売買を推奨するものではありません。


免責事項:この記事の著作権は元の作者に帰属し、MyTokenを表すものではありません(www.mytokencap.com)ご意見・ご感想・内容、著作権等ご不明な点がございましたらお問い合わせください。
MyTokenについて:https://www.mytokencap.com/aboutusこの記事へのリンク:https://www.mytokencap.com/news/588664.html
community_x_prefix
X(https://x.com/MyTokencap)
community_tg_prefixcommunity_tg_name
https://t.me/mytokenGroup
関連読書