Một sự kiện an ninh nghiêm trọng vừa xảy ra trên hệ sinh thái Solana. Kẻ tấn công đã khai thác lỗ hổng quản trị (governance exploit) của BonkDAO – tổ chức quản lý quỹ cộng đồng cho memecoin BONK – và rút ra 4.426 nghìn tỷ token BONK từ kho bạc. Ngay sau đó, họ bán 800 tỷ token thu về khoảng 2 triệu USD, và hiện vẫn nắm giữ 2.4 nghìn tỷ token còn lại. Áp lực bán từ khối lượng khổng lồ này đe dọa đẩy giá BONK xuống vực thẳm.

Bối cảnh: BonkDAO là DAO quản lý quỹ cộng đồng của BONK, một memecoin phổ biến trên Solana. Trước sự cố, BONK từng nằm trong top memecoin theo vốn hóa, được hỗ trợ bởi cộng đồng sôi động và các đợt airdrop. Tuy nhiên, giống như nhiều dự án meme coin khác, cơ chế quản trị và bảo mật hợp đồng thông minh của nó thường không được kiểm toán kỹ lưỡng. Lỗ hổng governance exploit cho phép kẻ tấn công bỏ qua đa chữ ký (multi-sig) hoặc cơ chế khóa thời gian (timelock) để trực tiếp rút token từ kho bạc. Đây là một trong những điểm yếu phổ biến của các DAO non trẻ, khi quyền quản trị tập trung vào một nhóm nhỏ hoặc hợp đồng thông minh có lỗi logic.
Phân tích kỹ thuật: Mặc dù thông tin chi tiết về lỗ hổng chưa được công bố, nhưng dựa trên bản chất sự kiện, có thể suy luận rằng lỗ hổng nằm ở khâu xác thực quyền thực thi đề xuất. Thông thường, kho bạc DAO được bảo vệ bởi multi-sig yêu cầu nhiều bên ký duyệt. Nếu kẻ tấn công có thể gọi hàm transfer từ kho bạc mà không cần thông qua đề xuất hợp lệ, điều đó cho thấy hợp đồng quản trị có lỗi nghiêm trọng. Một khả năng khác là kẻ tấn công đã chiếm được quyền kiểm soát đa số phiếu bầu thông qua flash loan hoặc tấn công Sybil, sau đó thông qua một đề xuất độc hại. Việc họ nhanh chóng bán 800 tỷ token trên DEX cho thấy họ có kiến thức về thanh khoản và MEV. Khối lượng bán 800 tỷ chỉ thu về 2 triệu USD, tương đương mức giá 0,0000025 USD/BONK, phản ánh độ sâu thị trường cực kỳ mỏng của memecoin này.

Tác động đến tokenomics: Với tổng cung BONK khoảng 100 nghìn tỷ token (theo ước tính từ dữ liệu lịch sử), 4.426 nghìn tỷ bị đánh cắp chiếm khoảng 4,4% tổng cung. Số token này vốn được dành cho quỹ cộng đồng, nay rơi vào tay kẻ tấn công. Việc bán ra 800 tỷ đã tạo áp lực giảm giá ngay lập tức. 2,4 nghìn tỷ còn lại có thể được bán ra trong thời gian tới, gây ra làn sóng bán tháo kéo dài. Điều này làm suy yếu nghiêm trọng niềm tin của nhà đầu tư vào dự án. Các dự án memecoin thường không có doanh thu nội tại, giá trị hoàn toàn phụ thuộc vào cộng đồng. Một khi cộng đồng mất niềm tin, token sẽ rơi vào vòng xoáy tử thần.
Thị trường phản ứng: Tin tức lan truyền nhanh chóng trên Twitter và các kênh Telegram. Giá BONK đã giảm khoảng 30-40% trong vài giờ sau sự kiện, khối lượng giao dịch tăng đột biến do hoảng loạn. Tuy nhiên, do 2,4 nghìn tỷ vẫn chưa được thanh lý, áp lực bán tiềm ẩn vẫn còn đó. Nếu dự án không có biện pháp khẩn cấp (ví dụ: thương lượng với hacker, đóng băng tài sản trên CEX, hoặc phát hành token mới), giá có thể tiếp tục giảm sâu. Mặt khác, sự kiện này cũng thu hút sự chú ý đến các lỗ hổng bảo mật của DAO nói chung, đặc biệt là các memecoin vốn thường bị xem nhẹ về mặt kỹ thuật.

Góc nhìn phản trực giác: Trong khi đa số cho rằng đây là một thảm họa đối với BONK, sự kiện này có thể mang lại bài học giá trị cho toàn ngành. Nó phơi bày sự yếu kém trong quản trị của các DAO memecoin, buộc các dự án khác phải nâng cấp bảo mật, triển khai multi-sig và timelock một cách nghiêm túc. Hơn nữa, nếu BonkDAO có thể xử lý khủng hoảng một cách minh bạch (ví dụ: công bố báo cáo chi tiết, hợp tác với các sàn giao dịch để truy vết hacker, hoặc thực hiện hard fork để phục hồi token), họ có thể lấy lại lòng tin. Tuy nhiên, với đặc thù memecoin, khả năng thành công là rất thấp. Nhưng ngay cả khi dự án thất bại, thị trường sẽ ghi nhớ rủi ro này và yêu cầu các dự án mới phải có cơ chế quản trị an toàn hơn. Như vậy, về dài hạn, sự kiện này có thể có tác động tích cực đến chất lượng của các dự án memecoin nói riêng và tiêu chuẩn bảo mật DeFi nói chung.
Takeaway: Đối với nhà đầu tư đang nắm giữ BONK, lời khuyên là nên theo dõi chặt chẽ địa chỉ ví của hacker (có thể được theo dõi trên Solscan). Nếu hacker tiếp tục bán, giá sẽ giảm mạnh. Nếu dự án công bố kế hoạch khôi phục (ví dụ: airdrop token mới cho holder cũ), giá có thể hồi phục tạm thời. Các nhà đầu tư tiềm năng nên tránh mua vào lúc này vì rủi ro quá lớn. Đối với cộng đồng crypto rộng hơn, đây là lời nhắc nhở rằng ngay cả những dự án được yêu thích nhất cũng có thể sụp đổ vì lỗi bảo mật cơ bản. Hãy luôn kiểm tra kỹ hợp đồng thông minh, ưu tiên các dự án đã được kiểm toán độc lập, và đa dạng hóa danh mục đầu tư.