BonkDAO ガバナンス攻撃が 2026 年 7 月 6 日の朝に実行され、Solana で最も知られたミームコイン・コミュニティの 1 つが大きな打撃を受けた。この出来事は、分散型ガバナンスが、本来守るべきコミュニティそのものに対して、いかに容易に「武器」として使われ得るのかという不都合な疑問を投げかけている。
Summary
重要ポイント
- 約 2,000 万ドル相当の BONK トークンが、悪意あるガバナンス提案を通じて BonkDAO のトレジャリーから流出した。
- 4.4 兆 BONK トークンが Bybit アカウントに紐づくウォレットへ送金され、その後「eh42」で終わる 2 つ目の Solana アドレスへ再度移動した。
- このエクスプロイトは、「Sowellian BonkDAO」と名付けられたBonk 改善提案 #76を通じて実行され、プロジェクト独自のガバナンス・プラットフォーム上で可決された。
- 取引所の Upbit と Kraken は、いずれも本件発生後に BONK の入出金を一時停止した。
- BonkDAO は法執行機関へ通報しており、Solana Foundation、中央集権型取引所、ブリッジ運営者らと連携して資金回収に取り組んでいる。
ガバナンス攻撃で枯渇した BonkDAO トレジャリー
月曜日の東部時間午前 4 時過ぎ、4.4 兆 BONK トークン超(送金時点で約 1,930 万ドル相当)が BonkDAO のトレジャリー・ウォレットから「JHvQ」で終わるアドレスへ移動した。このウォレットは、Solana ブロックチェーン・エクスプローラーの Solscan により、Bybit アカウントから資金供給を受けていたことが確認された。同日午後 3 時 30 分(東部時間)までに、これらのトークンは再び移動し、今度は「eh42」で終わる別の Solana アドレスへ送金された。いずれのアドレスからも、他の第三者へのさらなる分配は確認されていない。
この攻撃が特に衝撃的なのは、従来の意味での秘密鍵ハックやスマートコントラクトの脆弱性を必要としなかった点にある。攻撃者は、あくまでルールの範囲内で行動したのだ。
すべてを可能にした「Sowellian BonkDAO」提案
エクスプロイトの中心的な仕組みとなったのが、BonkDAO 独自のガバナンス・プラットフォームを通じて提出・可決されたBonk 改善提案 #76である。「Sowellian BonkDAO」と題されたこの提案は、「Sowellian ガバナンスの導入、新メンバーおよび評議会の設置、灰燼からの再建、保有資産の収益化、出血の停止」を約束していた。また、「賛成」票を投じた参加者には、報酬として BONK トークンを付与するというインセンティブも提示されていた。
しかし、その報酬が実際に支払われることはなかった。「JHvQ」ウォレットへ移動したトークンは投票者へ分配されることはなく、数時間後には 2 つ目のアドレスへと移されている。このパターンは、コミュニティへの約束を守るというよりも、足跡を隠そうとする攻撃者の行動と整合的だ。
ここでのメカニズムは注目に値する。攻撃者は、投票前に十分な量の BONK を購入してガバナンス権限を獲得し、オンチェーン上で正当な手続きとして提案を可決させることに成功した。BonkDAO は後に、提案前に BONK を購入するために使われた取引所ウォレットを特定したと明らかにしている。つまり、投票権の蓄積は事後的にはオンチェーン上で確認可能だったものの、流出を防ぐには間に合わなかったということだ。
取引所とコミュニティの対応
主要な暗号資産取引所は迅速に動いた。韓国の取引所 Upbit と米国の Kraken は、本件発生後に BONK の入出金を一時停止し、Upbit はその理由として「セキュリティインシデントの状況を踏まえたユーザー保護措置」であると明示した。中央集権型プラットフォームでの取引を凍結する判断は、エクスプロイト発生時の標準的な初動対応であり、盗まれたトークンを現金化しようとする攻撃者の能力を制限する狙いがある。
こうした措置によって、流出した BONK の一部を実際に封じ込められたかどうかは、まだ明らかではない。取引所による凍結措置が講じられる前に、トークンはすでに一度移動していたからだ。
法執行機関と広範な調査
BonkDAO は X 上で、法執行機関へ通報済みであり、「資金回収および責任者の特定に向け、関係各所と積極的に連携している」と投稿した。Bonk チームは、中央集権型取引所、ブリッジ運営者、Solana Foundation とも協力しており、オンチェーン・トレースの複雑さと、資金回収には取引所のようなオフチェーン仲介者の協力が必要となる現実の双方を反映した、多方面からのアプローチを取っている。
BONK の価格が示すもの
BONK は攻撃発生後 24 時間で約 7% 下落し、およそ 0.0000043 ドルで取引された。この価格は、過去最高値である 0.000058 ドルから約 93% 低い水準であり、時価総額ベースでかつてはトップ 100 の暗号資産だった BONK が、このガバナンス・エクスプロイトによる新たな圧力が加わる以前から、長期的な下落トレンドにあったことを思い起こさせる。
流出規模を踏まえると、直後の価格下落は比較的限定的だったとも言える。これは、マーケットがミームコインのハックに対して全般的に鈍感になっているか、あるいは盗まれたトークンの大規模な売却がまだ発生していないことを反映している可能性がある。後者のシナリオの方が、より不穏だ。攻撃者が管理するウォレットに眠る 4.4 兆 BONK トークンは、流動性の高い市場へ持ち込まれた時点で、相当な売り圧力となり得るからである。
この攻撃が BonkDAO を超えて重要である理由
今回のエクスプロイトの仕組みは、分散型金融全体に対する警鐘となっている。悪意ある行為者が自己の利益のためだけに提案を可決させる目的で投票権を蓄積する「ガバナンス攻撃」自体は新しいものではないが、依然として過小評価されている攻撃ベクトルだ。多くのコミュニティ・ガバナンス・システムはオープンかつパーミッションレスであるよう設計されており、それこそがゲーム化されやすい要因にもなっている。
BonkDAO のケースでは、攻撃者は公開市場で投票権を購入し、表向きは十分にもっともらしい文言を備えた提案を提出し、プロトコル自身が承認した単一のオンチェーン取引によって、ほぼ 2,000 万ドルを引き出した。エクスプロイトもバグもなく、ただガバナンス・システムが設計どおりに動いた結果、それが守るべき人々に対して牙をむいたのである。これこそが、より解決の難しい問題だ。
より広いSolana エコシステムにとっても、このインシデントはミームコイン・プロジェクトに対し、より強固なガバナンス・セーフガードの構築を迫るものとなっている。たとえば、トレジャリー提案に対するタイムロックの導入や、土壇場での投票権蓄積戦略を困難にする定足数要件などだ。BonkDAO がこうしたガードレールを備えて再建を果たすのか、それともコミュニティの信頼がすでに回復不能なほど損なわれているのかは、最終的には法執行の結果以上に、トークンの将来を左右するかもしれない。
FAQ
BonkDAO ガバナンス攻撃では何が起きたのですか?
「Sowellian BonkDAO」と名付けられた悪意あるガバナンス提案(正式名称は Bonk 改善提案 #76)が、BonkDAO 独自のガバナンス・プラットフォーム上で可決され、それにより攻撃者は、単一の正規オンチェーン送金によってトレジャリーから約 2,000 万ドル相当の BONK トークンを流出させることが可能になりました。
盗まれた BONK トークンは攻撃後どのように扱われましたか?
約 4.4 兆 BONK トークンは、まず「JHvQ」で終わるウォレットへ送金され、これは Bybit アカウントに紐づいていました。その後同じ日のうちに、トークンは「eh42」で終わる 2 つ目の Solana アドレスへ移動しました。初回送金後、流出したトレジャリー・トークンについて、他の第三者へのさらなる分配は確認されていません。
暗号資産取引所は BonkDAO 攻撃にどのように対応しましたか?
韓国の取引所 Upbit と米国の Kraken は、いずれもこのセキュリティインシデント発生後に BONK トークンの入出金を一時停止し、Upbit は凍結の理由としてユーザー保護措置を明示しました。
BonkDAO ハックの捜査には法執行機関が関与していますか?
はい。BonkDAO は、ガバナンス提案前に BONK を購入するために使われた取引所ウォレットを特定しており、法執行機関へ通報済みです。チームはまた、資金回収および責任者の特定に向けて、中央集権型取引所、ブリッジ運営者、Solana Foundation とも連携しています。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”BonkDAO ガバナンス攻撃では何が起きたのですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”「Sowellian BonkDAO」と名付けられた悪意あるガバナンス提案(正式名称は Bonk 改善提案 #76)が、BonkDAO 独自のガバナンス・プラットフォーム上で可決され、それにより攻撃者は、単一の正規オンチェーン送金によってトレジャリーから約 2,000 万ドル相当の BONK トークンを流出させることが可能になりました。”}},{“@type”:”Question”,”name”:”盗まれた BONK トークンは攻撃後どのように扱われましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”約 4.4 兆 BONK トークンは、まず「JHvQ」で終わるウォレットへ送金され、これは Bybit アカウントに紐づいていました。その後同じ日のうちに、トークンは「eh42」で終わる 2 つ目の Solana アドレスへ移動しました。初回送金後、流出したトレジャリー・トークンについて、他の第三者へのさらなる分配は確認されていません。”}},{“@type”:”Question”,”name”:”暗号資産取引所は BonkDAO 攻撃にどのように対応しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”韓国の取引所 Upbit と米国の Kraken は、いずれもこのセキュリティインシデント発生後に BONK トークンの入出金を一時停止し、Upbit は凍結の理由としてユーザー保護措置を明示しました。”}},{“@type”:”Question”,”name”:”BonkDAO ハックの捜査には法執行機関が関与していますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”はい。BonkDAO は、ガバナンス提案前に BONK を購入するために使われた取引所ウォレットを特定しており、法執行機関へ通報済みです。チームはまた、資金回収および責任者の特定に向けて、中央集権型取引所、ブリッジ運営者、Solana Foundation とも連携しています。”}}]}
本記事は人工知能の支援を受けて作成され、編集チームによる確認を経ています。

