Web3 DAO是伪命题吗?深度拆解Bonk为何被治理攻击
你有没有想过,有人只需要拿出几百万美元,就能从 DAO 的国库里搬走价值数千万美元的资产?
前几天,BONK DAO 就发生了这么一起治理攻击。攻击者利用 BONK 治理机制里的几个漏洞——门槛偏低、投票机制过于简单、没有时间锁延迟执行——通过一个恶意提案差点把国库给搬空了。
那么,一个真正抗打的 DAO 治理流程到底该怎么设计?为什么像 Aa ve、ENS、Lido 这些协议能靠多层治理结构降低风险,而 BONK 却像个没锁门的金库?
这篇文章会把 DAO 的治理流程拆成五个阶段来讲

1. 提案阶段(Proposal)
在 DAO 的世界里,提案就是一切治理动作的起点。
一份正经提案通常涉及的内容包括:调整协议参数、上线新资产、动用国库资金、升级智能合约、修改激励计划,甚至是改动治理规则本身。
为了防止有人随便发个垃圾提案浪费大家时间,各大协议对发起人的门槛做了不同规定——要么要求持有一定数量的代币,要么需要拿到足够的委托投票权:
- :门槛偏高,大约需要拿到 0.5% AA VE 的投票权才能发起提案。
Aa ve
- :执行类提案需要 100,000 ENS 的委托投票,社交类提案则只需要大约 10,000 ENS。
ENS
- :得先在论坛上讨论一轮,并且至少要满足 1,000 LDO 的门槛。
Lido
- :门槛低得多,只需要 100M Bonk(具体金额以实时行情平台为准,整体门槛相对较低),这也是它容易被攻击的原因之一。
BONK
2. 社区讨论阶段(Governance Forum)
正式投票之前,成熟的 DAO 通常会先让提案在官方治理论坛上“过一遍堂”。这个环节主要做三件事:
- :让社区提前了解提案内容,有什么疑问直接提出来。
把方案摊开给大家看,收集意见
- :根据反馈调整参数和执行方式,让提案更完善。
优化方案细节
- :有些一看就是来捣乱的,或者还没想清楚就来投票的,直接在论坛阶段就被拦下来了。
筛掉不靠谱的提案
但并不是所有 DAO 都走这个流程。比如 BONK DAO 就没有正式的治理论坛,大部分提案直接通过 Solana Realms 提交上链投票,跳过了社区讨论环节。
成熟的 DAO 靠 Governance Forum、Snapshot、Timelock 这些多层机制来构筑“防火墙”,而像 BONK 这类 Meme DAO 更倾向于简单直接的投票方式,虽然效率高,但也给攻击者留了后门。
3. Snapshot 温度测试(Off-chain Voting)
在正式上链投票之前,很多 DAO 会先在 Snapshot 上搞一轮链下投票,看看社区的真实意愿。
这一步通常叫做:
Temperature Check(温度测试)
它的核心价值有几点:
- :链下投票不用花 Gas,社区成员参与起来几乎零门槛。
投票成本低
- :看看这个提案到底有没有人支持,值不值得推进到下一步。
提前摸清共识
- :如果投票结果不理想,发起人可以根据社区意见修改提案内容。
根据反馈调整方向
如果 Snapshot 温度测试没通过,说明社区共识不足,提案要么直接终止,要么打回修改,根本进不了链上投票这一步。
而 BONK DAO 的问题就在于没有设置 Snapshot 这层“防盗门”,等于让攻击者直接摸到了核心资产区。
4. 正式链上投票(On-chain Governance)
如果提案顺利通过了社区讨论和 Snapshot 测试(假设项目有这两个环节),接下来就进入正式的链上投票阶段。
这个阶段由链上治理框架来执行,常见的有:
- Governor 合约(Ethereum 生态里比较常见)
- Aragon(一个 DAO 管理框架)
- Realms(Solana 上的治理框架)
为了保证投票的严肃性和安全性,智能合约在结算时会严格检查两个核心指标。
最低参与门槛
如果参与投票的代币总数没达标,哪怕赞成票是 100%,提案照样作废。
举个例子:假设一个 DAO 的总供应量是 1 亿枚代币,Quorum 设为 5%,那就至少需要 500 万枚代币参与投票才算有效。各主流 DAO 的 Quorum 设置不尽相同:
- Lido 设得比较高,要求总供应量的 5%(大约 5000 万 LDO)
- Aa ve(约 2% 总供应)和 ENS、BONK(1% 总供应)相对常规
- Optimism 则更灵活,根据提案类型在 3% 到 30% 之间动态调整
投票通过条件
大多数 DAO 的日常治理用的是简单多数制(Simple Majority),也就是赞成票(YES)比反对票(NO)多就行。
但如果提案涉及协议的核心规则——比如修改 ENS 宪法、调整关键治理参数、或者升级底层协议——DAO 通常会采用超级多数制(Super Majority)。
也就是说,需要更高比例的支持票才能通过,比如 2/3(约 66.7%)以上赞成,甚至更高的比例。
这种机制能防止少数大户靠简单多数就推动对协议产生重大影响的修改。
BONK 被治理攻击的另一个关键原因,就是它的治理参数设得太宽松了。
最低参与门槛只需要总供应量 1% 的 BONK 投票权就能进入有效投票,而且通过条件也只是简单多数制:YES > NO
这意味着攻击者根本不需要控制大多数 BONK,只要拿到大约 1% 的供应量,让自己的提案获得多数支持,就能推动治理执行。
5. Timelock 延迟执行与链上执行(Execution)
成熟的 DAO 通常不会在投票通过后立刻执行提案,而是会加一个 Timelock(时间锁)机制:
投票通过 → Timelock 等待 → 链上执行。
时间锁的作用是给社区留出缓冲期,让大家有时间:
- 检查提案代码有没有问题
- 发现潜在的攻击风险
- 组织反对或者启动紧急应对措施
等待期结束之后,提案才会由治理框架自动执行。
BONK 被治理攻击的一个重要原因,就是它的治理流程里缺少标准的时间锁延迟执行环节:投票通过 → 直接执行
在 BIP #76 治理攻击事件中,攻击者正是利用了 BONK 没有延迟执行这个漏洞,在提案通过后迅速执行了恶意操作。
最后
BONK 这次被攻击,其实暴露了 DeFi 领域一个长期被忽视的问题:
如果没人真正参与治理,那 DAO 还有存在的必要吗?
当社区治理变成一种形式主义,DAO 的意义就值得重新审视了。说实话,治理参与度长期低迷,让 DAO 的架构看起来更像是一种低效的负担,而不是协议的安全保障。
如果真正的治理权只掌握在极少数人手里,而大部分用户只是沉默的围观者,那刻意追求名义上的去中心化,不仅增加了决策成本,还给协议留下了巨大的安全隐患。
也许我们得承认一个事实:不是所有项目都适合搞 DAO。就像传统商业世界里,把决策权交给少数核心团队,往往能带来更高的执行效率和更强的抗风险能力。去中心化的热潮过了之后,我们更该回归本质——一个协议的稳健运行,更多依赖的是清晰的责任分工和靠谱的执行团队,而不是一场看似民主的全民投票。