BonkDAO beschreibt den Vorfall nicht als klassischen Angriff auf Smart Contracts, sondern als Missbrauch des Governance-Mechanismus. Nach Angaben der Organisation nutzten Inhaber einer großen BONK-Menge ihren Einfluss im Abstimmungsprozess, um mehr Coins in ihre eigenen Wallets zu lenken. Der Schaden beläuft sich laut BonkDAO auf 20 Millionen US-Dollar.
Während der Untersuchung identifizierte BonkDAO nach eigenen Angaben die Exchange-Wallets, mit denen vor dem Vorschlag BONK erworben wurde. Kryptonachrichtenseiten berichteten, die Angreifer hätten sich zur Vorbereitung Coins im Wert von etwa 4 Millionen Dollar beschafft. Eine eigene Summe dafür veröffentlichte BonkDAO nicht.
Die Organisation teilte weiter mit, sie habe Strafverfolgungsbehörden benachrichtigt und arbeite weiter mit relevanten Parteien zusammen, um Gelder zurückzuholen und die Verantwortlichen zu ermitteln. Upbit, eine Kryptobörse aus Südkorea, erklärte, Ein- und Auszahlungen von BONK vorübergehend ausgesetzt zu haben.
BONK ist ein memecoin-Projekt auf der Solana-Blockchain. Berichten zufolge hielt BonkDAO selbst etwa 15 Prozent des gesamten verfügbaren BONK-Bestands. Am Montagnachmittag nach US-Ostküstenzeit lag der Kurs von BONK rund 7 Prozent im Minus; die gesamte Marktkapitalisierung belief sich auf etwa 400 Millionen Dollar.
DAO steht für „dezentrale autonome Organisation“ und bezeichnet eine Struktur, in der Community-Mitglieder über die Zukunft eines Projekts mitentscheiden. Im Fall von BONK sind das die Token-Inhaber. BonkDAO verweist damit indirekt auf eine Angriffsform, die sich von bekannteren Hacks auf Smart Contracts unterscheidet. Smart Contracts sind Protokolle, die Aktionen nach den internen Regeln einer Plattform automatisch ausführen; bei einem bösartigen Governance-Vorschlag wird dagegen der Abstimmungsprozess selbst korrumpiert.
Der Quelltext ordnet den Fall in eine Reihe früherer Vorfälle im Kryptobereich ein. Als bekanntes Beispiel für die Ausnutzung von Governance nennt er den Angriff auf Beanstalk im Jahr 2022, bei dem Reserven im Umfang von rund 180 Millionen Dollar abflossen. Zudem wird erwähnt, dass US-Behörden seit mehreren Jahren Fälle rund um Smart Contracts untersuchen und strafrechtlich verfolgen, darunter einen Diebstahl von 54 Millionen Dollar bei Uranium Finance. In einzelnen Fällen gelingt Plattformen laut Quelltext die Wiedererlangung von Vermögenswerten: Im Dezember ordnete die Federal Trade Commission an, dass Nomad 37,5 Millionen Dollar an nach einem Vorfall im Jahr 2022 wiederbeschaffter Kryptowährung ausschüttet.
