BonkDAO teve US$ 20 milhões drenados após proposta maliciosa passar

A BonkDAO, estrutura de governança por trás do ecossistema da memecoin BONK, confirmou a perda de cerca de US$ 20 milhões em tokens após a aprovação de uma proposta maliciosa. O ataque não explorou um bug de contrato inteligente clássico. Em vez disso, o invasor usou o próprio sistema de governança do protocolo para aprovar uma transferência do tesouro para uma carteira sob seu controle.

A proposta usada no ataque foi a BIP-76, identificada em algumas coberturas como “Sowellian BonkDAO”. Segundo os relatos, ela previa o envio de todo o saldo do tesouro da DAO para a carteira do proponente. Como o mecanismo de governança executava automaticamente a decisão aprovada, a passagem da proposta abriu caminho para o dreno imediato dos fundos.

O valor retirado foi estimado em US$ 20 milhões em BONK, o equivalente a aproximadamente 4,426 trilhões de tokens, de acordo com coberturas do caso. A própria BonkDAO reconheceu o ataque em comunicado público e disse que já identificou carteiras usadas na compra de BONK antes da votação.

Atacante gastou US$ 4,4 milhões para comprar votos e atingir o quórum

O ponto mais importante da história é a mecânica do ataque. Em vez de “hackear” o protocolo por uma falha de código, o invasor comprou influência suficiente para dominar a votação. Segundo análises citadas nas reportagens, ele gastou cerca de US$ 4,4 milhões para adquirir um pouco mais de 1% da oferta circulante de BONK, quantidade suficiente para alcançar o limiar de quórum da proposta.

Na prática, o atacante transformou uma votação de baixa participação em um ataque econômico de governança. Ao acumular tokens no mercado, ele ganhou peso suficiente para aprovar a BIP-76 e autorizar a transferência do tesouro. O caso é relevante porque mostra que, em DAOs com participação fraca e voto ponderado por token, nem sempre é preciso quebrar a segurança do protocolo: às vezes basta comprar influência suficiente por alguns milhões de dólares.

A votação terminou com 99,9% de votos “sim”, mas esse número esconde um detalhe crítico. Segundo as coberturas, apenas sete carteiras participaram do processo, apesar de a BonkDAO ter mais de 18 mil membros elegíveis. Em outras palavras, o quórum foi tecnicamente atingido, mas em um ambiente de baixíssima participação, o que deixou a governança vulnerável a um agente com capital suficiente para concentrar votos.

BIP-76 expôs fraqueza estrutural da governança da BONK

A BIP-76 não foi um acidente operacional isolado. Ela escancarou um problema estrutural: a combinação entre voto ponderado por token, quórum alcançável com baixa participação e execução automática de propostas aprovadas. Esse arranjo pode funcionar em tempos normais, mas vira um ponto fraco quando um único agente consegue comprar votos rapidamente no mercado aberto.

No caso da BonkDAO, o invasor não precisou convencer a comunidade nem sequestrar a chave de administradores. Bastou adquirir tokens suficientes, submeter uma proposta desenhada para esvaziar o tesouro e contar com a apatia do restante dos votantes. A governança fez exatamente o que foi programada para fazer — e é justamente isso que torna o caso tão delicado.

Esse tipo de episódio reabre um debate antigo no mercado: quando um invasor usa as regras do próprio protocolo para drenar um tesouro, isso deve ser tratado como roubo, falha de desenho ou “ataque econômico” previsto pela lógica do sistema? Para o investidor, a resposta jurídica pode variar, mas a consequência prática é objetiva: o tesouro sumiu e o token ficou mais arriscado no curto prazo.

BONK caiu no mercado e exchanges passaram a monitorar os tokens roubados

A reação do mercado foi imediata. As coberturas publicadas após o incidente apontaram queda entre 7% e 10% no preço do BONK conforme o caso ganhou repercussão. Em algumas leituras, o token chegou a acumular recuo de 15%, embora a oscilação tenha variado ao longo do dia conforme o mercado digeria a notícia e monitorava o destino dos ativos roubados.

Além da queda de preço, o foco se voltou para o caminho dos tokens desviados. A BonkDAO informou que está trabalhando com exchanges, bridges, a Solana Foundation e autoridades para tentar rastrear, congelar ou reduzir a liquidez dos BONK retirados do tesouro. Em algumas coberturas internacionais, corretoras da Coreia do Sul, como Upbit e Bithumb, teriam suspendido depósitos e saques de BONK enquanto analisavam movimentações ligadas ao caso.

Esse ponto importa porque, em ataques a tesouros de DAO, o prejuízo efetivo para o invasor depende muito da capacidade de converter o token roubado em liquidez. Se parte dos ativos for bloqueada, congelada ou monitorada em exchanges centralizadas, o agressor pode ter dificuldade para realizar o ganho integral. Mas, até aqui, a BonkDAO ainda trata a recuperação como uma tentativa em andamento, não como um desfecho garantido.

BonkDAO acionou autoridades e tenta conter dano reputacional no ecossistema Solana

Em comunicado no X, a BonkDAO afirmou que já reportou o caso às autoridades e está investigando as carteiras usadas para comprar BONK antes da proposta. O projeto também disse estar coordenando a resposta com parceiros do ecossistema, numa tentativa de conter o dano financeiro e reputacional. O problema é que, em casos de governança, a recuperação costuma ser mais difícil do que em exploits de contrato com vulnerabilidade técnica clara.

A BONK tem peso simbólico dentro do ecossistema Solana porque se tornou uma das memecoins mais conhecidas da rede e ajudou a atrair liquidez, comunidade e uso para aplicações ligadas ao token. Por isso, o ataque não atinge apenas a tesouraria da DAO; ele também pressiona a percepção de risco sobre modelos de governança usados em projetos com grande base de holders, mas pouca participação efetiva em votações.

Outro detalhe importante é que a BonkDAO já vinha de outros episódios de segurança no ecossistema BONK em 2026, incluindo o caso do domínio Bonk.fun, que foi sequestrado em março e usado em um golpe de phishing. O ataque atual é diferente, porque atinge diretamente o tesouro da DAO e usa a própria estrutura on-chain do projeto, mas a sequência de incidentes ajuda a aumentar a cautela do mercado.

O que o ataque muda para quem acompanha BONK e outras DAOs

Para o trader e investidor, o caso da BONK deixa um alerta que vai muito além da memecoin. Ele mostra que governança on-chain também é superfície de ataque. Em alguns projetos, o risco não está só em bugs de contrato, bridge ou carteira multisig; está no desenho dos incentivos, no quórum e no nível de participação dos votantes.

A lição prática aqui é olhar para três coisas antes de tratar o token de uma DAO como se fosse apenas “mais uma altcoin”:

No caso da BONK, o atacante conseguiu drenar cerca de US$ 20 milhões com um desembolso de US$ 4,4 milhões. Essa relação entre custo do ataque e tamanho do prêmio é exatamente o tipo de métrica que o mercado precisa observar em DAOs com tesouros grandes. Se o custo para capturar a governança for baixo demais, o token passa a carregar um desconto estrutural de risco, independentemente da força da comunidade ou do hype da memecoin.

IndicadorDado citado nas coberturas
Valor drenado do tesouroUS$ 20 milhões
Tokens retiradoscerca de 4,426 trilhões de BONK
Valor gasto pelo atacante para comprar votosUS$ 4,4 milhões
Parcela aproximada da oferta compradapouco mais de 1%
Proposta usada no ataqueBIP-76
Resultado da votação99,9% de votos “sim”
Carteiras participantes7
Membros elegíveis da DAOmais de 18 mil