Bonk perde 20 milioni di dollari dal tesoro dopo che un attaccante spende 4 milioni di dollari per far approvare una proposta dannosa

L’attacco alla tesoreria di BONK è avvenuto mediante una proposta di governance che ha trasferito una parte rilevante delle riserve in un portafoglio controllato dall’attaccante, sfruttando soglie di quorum e la bassa partecipazione al voto.

Ricostruzione dell’accaduto

La vicenda ha avuto inizio il 30 giugno, quando un portafoglio anonimo ha sottoposto una proposta per spostare attivi della tesoreria verso un indirizzo da lui controllato, come ricostruito da Chainalysis. Per essere approvata, la proposta necessitava di voti favorevoli corrispondenti all’1% dell’offerta di BONK, il quorum minimo previsto dalle regole di governance.

Nei giorni 4 e 5 luglio un altro portafoglio ha acquisito esattamente la quantità richiesta: circa 4,4 milioni di dollari in BONK comprati sugli exchange Bybit e Binance e, secondo osservazioni pubbliche, incrementando la posizione tramite prestiti su piattaforme DeFi, come segnala Lookonchain.

La proposta, etichettata BIP #76 – Sowellian BonkDAO, è passata con il voto di appena sette portafogli, mentre oltre 18.000 membri non hanno partecipato: la partecipazione effettiva è risultata del 2,9%. Il conteggio finale ha superato il quorum per un margine estremamente ridotto: 882,38 miliardi di BONK a favore contro una soglia di 879,95 miliardi, quasi esattamente la posta che l’attaccante aveva messo insieme nei giorni precedenti.

Il risultato ufficiale riportava il 99,9% di voti favorevoli, ma nella pratica si è trattato di un unico attore che ha utilizzato la propria grande partecipazione per imporre l’esito. Il testo della proposta aveva toni più promozionali che tecnici, promettendo di “ricostruire dalle ceneri, monetizzare le partecipazioni, fermare l’emorragia” e specificando che “tutti i votanti SÌ sono idonei a ricevere token”. L’istruzione chiave, tuttavia, era il trasferimento di 4,43 trilioni di BONK verso il portafoglio dell’attaccante.

Il 6 luglio il portafoglio che aveva accumulato la posta ha espresso l’intero stake a favore della proposta, che è così passata. Poco dopo l’esecuzione automatica dell’azione di governance ha trasferito dalla tesoreria circa 20 milioni di dollari in BONK all’indirizzo controllato dall’attaccante.

Punti di vulnerabilità nella governance on‑chain

Questo episodio evidenzia debolezze note nei meccanismi di governance on‑chain: quorum bassi, scarsa partecipazione della comunità e l’assenza di barriere tecniche che impediscano l’acquisto massiccio di diritti di voto a fini strumentali. Quando una proposta viene eseguita automaticamente al raggiungimento del quorum, un singolo attore con sufficiente capitale può forzare trasferimenti o modifiche senza un controllo umano aggiuntivo.

La facilità con cui sono stati combinati acquisti su exchange centralizzati, prestiti DeFi e l’uso di portafogli multipli per nascondere l’operazione mostra come attori determinati possano aggirare guardrail deboli. Inoltre, la comunicazione della proposta, strutturata per distribuire benefici ai votanti favorevoli, ha agito come incentivo fraudolento alla concentrazione dei diritti di voto.

Impatto sul mercato e rischi per gli investitori

Il trasferimento forzato di risorse dalla tesoreria ha effetti immediati sulla fiducia degli investitori e sulla liquidità del token. Le vendite o la rimozione di grandi quantitativi dal mercato possono provocare forti oscillazioni di prezzo, con conseguenze per chi detiene posizioni a leva o per chi ha partecipato a pool di liquidità.

Per gli investitori retail, e in particolare per il pubblico italiano, la vicenda sottolinea l’importanza di riconoscere il grado di decentralizzazione reale di un progetto: una governance formalmente distribuita può comunque risultare vulnerabile se la partecipazione è bassa e le soglie non sono adeguate. Exchange e piattaforme di analisi on‑chain come Chainalysis e Lookonchain possono tracciare i flussi, ma le contromisure legali o tecniche restano complesse.

Possibili reazioni e misure di mitigazione

I progetti possono adottare diversi strumenti per ridurre simili rischi: timelock delle decisioni critiche, multisignature per la tesoreria, soglie di quorum più elevate o meccanismi che limitino il peso di voti acquisiti in brevi finestre temporali. Inoltre, la trasparenza sui detentori di grandi quantità e politiche anti‑manipolazione principali possono scoraggiare attori opportunisti.

Dal punto di vista normativo, incidenti come questo attirano l’attenzione sulle necessità di vigilanza, antiriciclaggio e responsabilità degli exchange quando facilitano acquisti massicci usati per prese di controllo di governance. Tuttavia, l’applicazione di regole tradizionali a ecosistemi on‑chain rimane tecnicamente e giuridicamente complessa.

Cosa possono fare gli investitori

Gli investitori dovrebbero monitorare la partecipazione alle votazioni, valutare la distribuzione dei token e preferire progetti con meccanismi di tutela della tesoreria. Diversificare l’esposizione, limitare l’uso di leva su asset altamente speculativi e impiegare strumenti di gestione del rischio sono misure prudenti.

Inoltre, è consigliabile utilizzare fonti di informazione on‑chain per verificare flussi sospetti e mantenere attenzione sui white paper e sulle policy di governance dei progetti in cui si investe, verificando l’esistenza di timelock, multisig e procedure di emergenza.

In sintesi

  • La vulnerabilità esposta dimostra come quorum bassi e scarsa partecipazione possano trasformare la governance in un bersaglio per acquisizioni di voto; per il mercato significa aumento del rischio sistemico per token con comunità inattive.
  • Per gli investitori, la lezione principale è incrementare la due diligence sulla struttura di governance e preferire progetti con timelock e multisig che riducono il rischio di esecuzioni automatiche malevole.
  • Gli exchange e le piattaforme DeFi svolgono un ruolo cruciale: migliorare controlli AML/KYC e monitoraggio dei flussi può limitare la facilità con cui si accumulano stake a fini manipolativi, influenzando positivamente la stabilità del mercato.


Author: Tony
Redazione Finanza Flash. Notizie di finanza, mercati, borsa e macroeconomia in tempo reale. Aggiornamenti su investimenti, banche, BCE ed economia italiana.