Nimeni nu a spart nimic. Nu a fost ocolită vreo linie de cod, nu a fost furată nicio cheie privată și niciun angajat nu a fost păcălit cu un mesaj fals. Cineva a cumpărat, la vedere, dreptul de a vota într-o organizație descentralizată, apoi a folosit acel drept ca să își vireze singur banii comunității. Rezultatul, aproximativ 20 de milioane de dolari dispăruți dintr-o trezorerie, arată cât de fragilă poate fi o structură care se laudă că înlocuiește instituțiile clasice cu reguli scrise în cod.
Pe 6 iulie 2026, organizația care administrează ecosistemul memecoinului BONK de pe rețeaua Solana a confirmat că 4.400 de miliarde de tokeni, echivalentul a circa 20 de milioane de dolari la cursul momentului, au ieșit din trezorerie în urma unei propuneri de guvernanță pe care echipa a numit-o malignă. Ce sună a limbaj birocratic ascunde una dintre cele mai incomode lecții pe care le-a primit industria criptomonedelor în ultima vreme.
Cum arată un jaf făcut cu instrumentele casei
BONK a apărut pe Solana la finalul lui 2022, printr-o distribuție gratuită către utilizatori, într-o perioadă în care rețeaua avea nevoie de un motiv de optimism după prăbușirea bursei FTX. Proiectul a crescut rapid, a depășit la un moment dat o capitalizare de peste 4 miliarde de dolari și a rămas, chiar și după corecțiile grele din ultimul an, al treilea memecoin ca mărime din ecosistemul Solana.
BonkDAO este organizația autonomă descentralizată care gestionează o parte din resursele acestui ecosistem. Într-o astfel de structură, deciziile nu le ia un consiliu de administrație, ci deținătorii de tokeni, prin vot. Oricine strânge suficienți tokeni poate depune o propunere, iar dacă aceasta trece de vot, se execută automat pe blockchain, fără să mai fie nevoie de semnătura vreunui om. În teorie, puterea aparține comunității și totul rămâne transparent.
Problema apare când comunitatea nu se prezintă la vot. La BonkDAO, absenteismul devenise regulă. Propunerea care a golit trezoreria a fost votată de doar șapte portofele, în timp ce peste 18.000 de membri au stat deoparte. Prezența la vot a fost de 2,9 la sută. În acel gol de participare, un singur actor cu destui bani a devenit, pentru câteva ore, întreaga democrație a proiectului.
Datele on-chain, sintetizate pe larg de site-ul de știri și analize crypto în limba română, Cryptology.ro, conturează o operațiune metodică, întinsă pe aproape o săptămână și desfășurată sub ochii oricui s-ar fi uitat cu atenție la mișcările din trezorerie.
Cronologia unei operațiuni pregătite în liniște
Totul a început pe 30 iunie, când un portofel anonim a depus, pe platforma de guvernanță Realms, o propunere intitulată „BIP #76 – Sowellian BonkDAO”. Textul semăna mai degrabă cu o bravadă decât cu o moțiune administrativă. Autorul promitea reconstrucția proiectului și oprirea pierderii de valoare, iar la final strecura o momeală care avea să pară, retrospectiv, aproape ironică. Toți cei care votau „da” urmau să primească o recompensă în tokeni.
Sub acest ambalaj retoric se ascundea un mecanism concret. Odată aprobată, propunerea autoriza transferul unei cantități uriașe de BONK din trezorerie către un portofel controlat chiar de autorul ei. La momentul depunerii, nimeni nu a tras semnalul de alarmă. Era o moțiune printre altele, într-un sistem în care apatia devenise normă.
Urma partea costisitoare. Ca să împingă propunerea peste pragul de cvorum, atacatorul avea nevoie de putere de vot, adică de tokeni. În zilele de 4 și 5 iulie, un portofel separat a cheltuit circa 4,4 milioane de dolari pe BONK cumpărat de pe bursele Bybit și Binance, completând achizițiile cu împrumuturi luate din platforme de creditare descentralizată. Ținta era puțin peste 1 la sută din oferta totală, exact cât cereau regulile interne ale organizației.
Momentul nu pare ales întâmplător. Weekendul prelungit de 4 iulie, sărbătoare națională în Statele Unite, aduce de obicei lichiditate scăzută și atenție redusă din partea echipelor. Cumpărăturile masive au trecut neobservate. Luni, 6 iulie, votul s-a închis. Propunerea a trecut cu 882,38 miliarde de tokeni exprimați în favoarea ei, față de un prag de cvorum de 879,95 miliarde. Diferența minusculă spune totul despre precizia calculului. Atacatorul a cumpărat aproape exact cât îi trebuia, iar scorul final, 99,9 la sută voturi favorabile, descrie de fapt un singur votant căzut de acord cu sine. Execuția a fost automată, iar cei 20 de milioane de dolari în BONK au plecat din trezorerie.
Pragul de 1 la sută care a costat 20 de milioane
Reacția specialiștilor în securitate a fost aproape unanimă. Problema nu a stat în ingeniozitatea atacatorului, ci în configurația aleasă de proiect. Un prag de doar 1 la sută din ofertă pentru a crea și a împinge o propunere care mută bani direct din trezorerie este o alegere naivă pentru un proiect cu vechimea și dimensiunea BONK.
Criticile au convers spre câteva absențe concrete. Proiectul nu avea un mecanism de întârziere, așa-numitul timelock, care ar fi deschis o fereastră de câteva zile între aprobarea propunerii și execuția ei, suficient cât comunitatea să sesizeze la timp mișcarea suspectă. Lipsea, la fel, orice aprobare suplimentară pentru transferurile din trezorerie, fie ea o semnătură multiplă, fie un consiliu de securitate cu drept de veto. Iar cvorumul rămăsese calibrat pentru o participare care se stinsese de mult, așa că un procent mic din tokeni ajungea să conteze cât o majoritate.
Argumentul de fond, subliniat și de cercetătoarea de securitate Taylor Monahan, are o greutate matematică greu de contestat. O trezorerie guvernată prin vot ponderat de tokeni valorează, din perspectiva unui atacator, exact diferența dintre costul cumpărării majorității temporare și suma pe care o poate extrage. La BonkDAO, această diferență a depășit 15 milioane de dolari. Atâta timp cât ecuația rămâne pozitivă, atacul nu este o anomalie, ci o consecință logică.
Furt sau simplă folosire a regulilor jocului
Aici discuția devine cu adevărat spinoasă. BonkDAO a anunțat că a sesizat autoritățile și că lucrează cu bursele, cu operatorii de punți între blockchainuri și cu Solana Foundation pentru a îngheța fondurile și a identifica autorii. O parte a comunității crypto vede însă lucrurile altfel. Din perspectiva puriștilor, atacatorul nu a spart nimic. A cumpărat tokeni pe piața liberă, a depus o propunere conform regulilor, a votat cu puterea pe care regulile i-o confereau și a încasat rezultatul unui vot valid. Codul este lege, sună vechiul principiu al spațiului descentralizat.
Precedentele juridice complică tabloul. Avraham Eisenberg, autorul atacului din 2022 asupra platformei Mango Markets, a folosit exact această apărare, descriindu-și operațiunea drept o strategie de tranzacționare profitabilă, dar legală. Justiția americană nu a fost convinsă și l-a condamnat pentru fraudă. Mesajul instanțelor a fost limpede. Faptul că un sistem informatic permite o acțiune nu o face automat legitimă, la fel cum o ușă lăsată descuiată nu transformă furtul în vizită.
Consecințele practice s-au văzut rapid. Bursele sud-coreene Upbit și Bithumb au suspendat depunerile și retragerile de BONK pentru a verifica proveniența tokenilor, iar echipele de conformitate ale marilor platforme au primit adresele marcate de analiștii on-chain. Pentru atacator, transformarea celor 4.400 de miliarde de BONK în bani curați se anunță mult mai grea decât obținerea lor.
Piața a taxat imediat greșeala
Prețul BONK a reacționat previzibil. Tokenul a pierdut aproximativ 10 la sută în orele de după confirmarea atacului, coborând spre 0,0000044 dolari și apropiindu-se de minimul intervalului din iunie, situat la 0,0000040 dolari. Contextul mai larg nu ajută. BONK venea deja după un an dificil, cu o scădere de circa 40 de procente de la începutul lui 2026 și de aproximativ 80 de procente față de acum douăsprezece luni. Capitalizarea, care depășea 4 miliarde de dolari în perioada de glorie, s-a comprimat sub 400 de milioane.
Surprinzător este comportamentul marilor deținători. Doar două portofele din categoria balenelor uriașe și-au redus expunerea după anunț, restul au stat pe loc, iar portofelele cu peste 10 milioane de BONK au continuat acumularea începută la jumătatea lui iunie. Un tipar asemănător a apărut de curând și pe piața Bitcoin, unde balenele au acumulat monede de 16,7 miliarde de dolari chiar în perioada în care investitorii instituționali își reduceau pozițiile. Acumularea nu garantează nimic, dar spune ceva despre percepția riscului.
Guvernanța on-chain are deja un istoric dureros
Atacul asupra BonkDAO nu inventează nimic. El repetă o schemă pe care industria o cunoaște de ani buni. Cazul clasic rămâne Beanstalk, protocolul de stablecoin golit în aprilie 2022 de 182 de milioane de dolari, printr-un împrumut instant de tokeni de guvernanță, un vot și o rambursare, totul într-o singură tranzacție. A urmat episodul Tornado Cash din 2023 și tentativa asupra Compound din 2024. Fiecare caz a lăsat în urmă cam aceeași explicație, o participare atât de scăzută încât un grup mic ajungea să decidă pentru toți, praguri prea îngăduitoare și o execuție automată lipsită de orice plasă de siguranță.
Anul 2026 a adăugat un context și mai sumbru, cu un record istoric al fondurilor furate din ecosistemul crypto în primul semestru. Cum a documentat constant jurnalistul și analistul Mihai Popa în paginile publicației Cryptology.ro, tiparul dominant s-a mutat dinspre vulnerabilitățile de cod spre eșecurile de proces, de la atacul de 10 milioane de dolari asupra THORChain până la golirea Gravity Bridge de 5,4 milioane de dolari după furtul unei chei de semnătură. Nici zona aplicațiilor pentru utilizatori nu a fost ocolită, așa cum a arătat atacul asupra interfeței Polymarket, iar prăbușirea stablecoinului USR de la Resolv Labs a demonstrat cât de repede se evaporă încrederea după un exploit.
Diferența față de aceste cazuri, și tocmai de aceea povestea BONK doare mai tare, este că aici nu a existat nicio componentă tehnică sofisticată. Nu a fost la mijloc niciun cod ascuns și nicio cheie furată, ci pur și simplu o regulă proastă, lăsată nesupravegheată, și cineva dispus să plătească pentru a o folosi.
Ce se poate repara și cât costă repararea
Soluțiile tehnice există și sunt bine cunoscute, ceea ce face situația și mai frustrantă. Un timelock de 48 sau 72 de ore pe orice propunere care atinge trezoreria ar fi oprit atacul încă din prima zi, pentru că mișcarea de 4,4 milioane de dolari în tokeni ar fi devenit vizibilă cu mult înainte de execuție. Un consiliu de securitate cu drept de veto, un cvorum indexat la participarea reală sau separarea trezoreriei în compartimente cu niveluri diferite de protecție sunt, la rândul lor, mecanisme deja testate.
Fiecare dintre ele costă însă ceva ce comunitățile crypto prețuiesc enorm, adică viteză și puritate ideologică. Un timelock înseamnă că nici propunerile legitime nu se mai execută instantaneu. Un consiliu de veto înseamnă că un grup restrâns capătă putere asupra voinței exprimate prin vot, ceea ce contrazice chiar rațiunea de a exista a unui DAO. Fiecare strat de protecție reintroduce, pe ușa din spate, exact centralizarea pe care descentralizarea promitea să o elimine.
Aici se află miezul dezbaterii pe care acest atac a redeschis-o. O democrație în care votul se cumpără de pe bursă, iar alegătorii nu se prezintă, nu mai este democrație, ci o licitație cu un singur participant. Întrebarea grea pentru restul industriei rămâne câte trezorerii mai funcționează, chiar acum, cu aceleași praguri permisive și cu aceeași prezență la vot de sub 3 la sută, așteptând doar un cumpărător suficient de calculat.