Serangan Tata Kelola: Kasus BonkDAO
Pada 6 Juli 2026, seorang individu menghabiskan sekitar empat juta dolar untuk membeli token BONK, yang digunakannya untuk mengendalikan hampir seratus persen suara dari tujuh dompet. Dengan cara ini, ia secara legal membawa pergi dua puluh juta dolar dari kas DAO. Tidak ada kode yang diretas; pemungutan suara berjalan persis seperti yang dirancang. Artikel ini akan menjelaskan cara kerja serangan tata kelola, mengapa serangan ini semakin umum, dan langkah-langkah yang dapat diambil untuk mencegahnya.
Daftar Isi
Sebagian besar pencurian cryptocurrency melibatkan kerusakan pada sistem: bug dalam kontrak pintar, kunci yang dicuri, atau situs web yang dipalsukan. Namun, serangan tata kelola tidak merusak apa pun. Serangan ini memanfaatkan sistem pemungutan suara dari organisasi terdesentralisasi (DAO) itu sendiri, sesuai dengan tujuan awalnya, untuk meloloskan proposal yang menyerahkan kas kepada penyerang. Kode berfungsi dengan baik, aturan diikuti dengan tepat, dan uang tetap keluar karena aturan itu sendiri mengizinkannya.
Inilah yang terjadi pada BonkDAO pada 6 Juli 2026. Seorang penyerang dengan tenang membeli sekitar empat juta dolar dalam token BONK di bursa selama beberapa hari, mengumpulkan kekuatan suara yang dominan, dan mengajukan proposal kepada kas DAO. Ketika pemungutan suara ditutup, dompet yang terhubung dengan penyerang mengendalikan sekitar 99,878 persen dari suara yang diberikan. Proposal disetujui, dan sekitar dua puluh juta dolar dalam BONK mengalir dari kas ke dompet yang dikendalikan penyerang. Hanya tujuh alamat yang memberikan suara sama sekali. Tidak ada eksploitasi dalam arti biasa; ini adalah pengambilalihan yang dilakukan melalui pintu depan.
Serangan tata kelola semakin umum karena mereka tidak memerlukan keterampilan teknis yang tinggi, hanya modal dan sistem pemungutan suara yang kurang terlindungi. Semakin banyak DAO, banyak di antaranya adalah proyek memecoin dengan kas besar, menyimpan dana besar di balik sistem seperti itu. Artikel ini menjelaskan apa itu serangan tata kelola, merinci kasus BonkDAO, mencakup varian utama termasuk versi pinjaman kilat yang tidak memerlukan modal awal sama sekali, meninjau catatan sejarah dari Beanstalk hingga Compound hingga Tornado Cash, dan menjelaskan pertahanan yang benar-benar efektif serta alasan mengapa mereka jarang diterapkan sepenuhnya.
Kerentanan dalam Sistem Pemungutan Suara
Garis besarnya adalah satu ide yang tidak nyaman: dalam sistem di mana uang memberikan suara, siapa pun yang dapat menyewa cukup banyak suara dapat menulis ulang aturan. Ini adalah kerentanan yang berbeda dari eksploitasi kode dan kompromi kunci yang menguras jembatan lintas rantai. Organisasi Otonom Terdesentralisasi (DAO) menggantikan eksekutif dan dewan dengan pemungutan suara pemegang token. Pemegang token tata kelola mengajukan proposal, pemegang lainnya memberikan suara, dan jika proposal mencapai ambang batas yang diperlukan, kontrak pintar mengeksekusinya secara otomatis. Proposal dapat menyesuaikan parameter, memperbarui kode, atau memindahkan dana kas. Daya tariknya adalah tidak ada satu orang pun yang mengendalikan hasilnya; komunitas yang melakukannya, secara transparan dan di rantai.
Serangan tata kelola mengubah keterbukaan itu menjadi senjata. Alih-alih menemukan bug dalam kode DAO, penyerang memperoleh cukup kekuatan suara melalui cara yang sepenuhnya sah, biasanya dengan membeli token tata kelola, dan kemudian menggunakan kekuatan itu untuk meloloskan proposal yang menguntungkan penyerang dengan mengorbankan semua orang lain, paling sering dengan mentransfer kas kepada diri mereka sendiri. Ini adalah serangan murni ekonomi yang tidak memerlukan eksploitasi urutan transaksi atau trik mempool. Karena akuisisi token dan pemungutan suara adalah tindakan yang diizinkan, serangan ini disebut sebagai “murni dalam protokol” oleh peneliti keamanan: tidak dapat dicegah oleh kriptografi atau audit kode yang lebih baik, karena tidak ada yang dieksploitasi kecuali mekanisme pemungutan suara yang berfungsi seperti yang dirancang.
Contoh Serangan Tata Kelola
Inilah yang membuat serangan tata kelola secara konseptual berbeda dari pencurian cryptocurrency lainnya. Bug reentrancy atau kunci pribadi yang dicuri adalah kegagalan implementasi; sistem melakukan sesuatu yang tidak seharusnya dilakukan. Sebaliknya, serangan tata kelola adalah kegagalan desain; sistem melakukan persis seperti yang seharusnya dilakukan, dan hasilnya tetap merupakan pencurian. Memperbaikinya memerlukan pemikiran ulang tentang aturan pemungutan suara, bukan memperbaiki satu baris kode. Itulah sebabnya serangan ini terus berhasil melawan protokol yang kontrak pintarnya sempurna.
Kerentanan mendasar hampir selalu adalah pemungutan suara berbobot token, model default di mana satu token sama dengan satu suara. Pemungutan suara berbobot token diam-diam mengasumsikan bahwa pemegang besar sejalan dengan keberhasilan protokol, karena mereka memiliki uang yang dipertaruhkan. Namun, asumsi ini sepenuhnya gagal terhadap penyerang yang tidak peduli dengan masa depan protokol dan hanya ingin mengendalikan satu suara cukup lama untuk menguras kas. Bagi penyerang, membeli token bukanlah investasi dalam proyek; itu adalah pembelian senjata, yang dibuang begitu saja setelah digunakan.
Proses Serangan BonkDAO
Serangan BonkDAO pada Juli 2026 adalah ilustrasi yang hampir sempurna, karena tidak menggunakan eksploitasi sama sekali dan setiap langkah terlihat di rantai. Persiapannya adalah akumulasi yang sabar. Selama beberapa hari, penyerang membeli sekitar empat juta dolar dari BONK menggunakan dompet bursa, membangun kekuatan suara secara bertahap alih-alih dalam satu pembelian yang mencolok. Karena BonkDAO menggunakan pemungutan suara berbobot token biasa di platform tata kelola standar, akumulasi BONK itu diterjemahkan langsung menjadi akumulasi suara. Karena pembelian tersebut tersebar dan dialihkan melalui bursa, itu tidak memicu alarm. Bagi pengamat mana pun, itu terlihat seperti akumulasi biasa dari memecoin.
Eksekusinya adalah proposal kepada kas. Penyerang mengajukan proposal tata kelola dan membiarkannya tetap aktif selama enam hari, jendela pemungutan suara yang normal. Di sinilah kelemahan fatal muncul: hampir tidak ada orang lain yang memberikan suara. Ketika jendela ditutup, hanya tujuh alamat dompet yang berpartisipasi, dan dompet yang dikendalikan oleh penyerang memegang sekitar 99,878 persen dari total bobot suara. Posisi token empat juta dolar sudah lebih dari cukup untuk mendominasi suara yang pada dasarnya tidak ada orang lain yang hadir. Proposal disetujui, dan kontrak pintar DAO melakukan apa yang dilakukan proposal yang disetujui: mengeksekusi, memindahkan sekitar dua puluh juta dolar dalam BONK dari kas ke dompet penyerang.
Kegagalan Desain yang Mengakibatkan Serangan
Tiga kegagalan desain bertemu. Tidak ada persyaratan kuorum yang berarti, sehingga suara yang diputuskan oleh tujuh dompet dihitung sebagai sah. Tidak ada penguncian waktu yang cukup kuat untuk memungkinkan komunitas memperhatikan dan bereaksi terhadap proposal kas yang tidak biasa sebelum dieksekusi. Dan tidak ada pemeriksaan darurat, seperti kontrol multisignature atas pergerakan kas besar, untuk menangkap proposal yang akan menguras kas. Salah satu dari ini, jika diatur dengan benar, mungkin telah menghentikan serangan; ketidakhadiran mereka secara bersama-sama membuat pembelian empat juta dolar cukup untuk mencuri dua puluh juta.
Setelahnya, mengikuti skrip yang kini sudah dikenal. BonkDAO melacak dompet bursa yang digunakan untuk mengakumulasi token dan mulai bekerja dengan bursa, jembatan lintas rantai, yayasan jaringan, dan penegak hukum untuk mengejar pemulihan, sementara setidaknya satu bursa menangguhkan transfer BONK. Namun, pemulihan dari serangan tata kelola terkenal sulit, tepat karena pencurian dilakukan melalui proses sah DAO sendiri, bukan eksploitasi yang mungkin dapat dibalik. Harga token jatuh tajam setelah berita tersebut.
Variasi Serangan Tata Kelola
Serangan tata kelola memiliki logika yang sama tetapi datang dalam beberapa bentuk, yang dibedakan terutama oleh bagaimana penyerang memperoleh kekuatan suara dan seberapa cepat mereka menyerang. Serangan akumulasi lambat adalah model BonkDAO: membeli token secara bertahap selama beberapa hari atau minggu, menghindari kecurigaan, dan menyerang ketika Anda mengendalikan cukup suara dan partisipasi rendah. Seorang penyerang yang sabar dapat melangkah lebih jauh, menyebarkan pembelian di banyak dompet anonim sehingga akumulasi terlihat seperti partisipasi yang sehat dan terdistribusi alih-alih satu entitas yang membangun senjata.
Partisipasi pemilih yang rendah adalah kondisi yang memungkinkan karena mengurangi jumlah token yang diperlukan untuk mendominasi; dalam DAO di mana hampir tidak ada yang memberikan suara, posisi yang sederhana dapat mengendalikan hasil. Serangan pinjaman kilat adalah varian yang paling dramatis, karena tidak memerlukan modal awal sama sekali. Pinjaman kilat memungkinkan pengguna meminjam jumlah yang sangat besar tanpa jaminan, asalkan pinjaman dilunasi dalam transaksi yang sama. Seorang penyerang meminjam jumlah besar, menggunakannya untuk membeli atau memperoleh blok pengendali token tata kelola, memberikan suara untuk meloloskan proposal jahat, mengekstrak kas, dan melunasi pinjaman, semuanya secara atomik dalam satu transaksi yang berhasil sepenuhnya atau sepenuhnya dibatalkan. Karena semuanya terjadi dalam satu blok, tidak ada jendela bagi siapa pun untuk bereaksi.
Varian ini adalah apa yang membuat penguncian waktu sangat penting, karena penundaan wajib antara pemungutan suara yang disetujui dan eksekusinya memutuskan persyaratan transaksi tunggal yang bergantung pada serangan pinjaman kilat. Jalur lain menuju kekuatan suara ada. Seorang penyerang mungkin mengeksploitasi cacat dalam cara protokol mendistribusikan atau mencetak token tata kelola, memperoleh suara tanpa membayar harga pasar. Mereka mungkin memanipulasi oracle harga untuk memperoleh token dengan murah, mengeksploitasi slippage dan dampak harga dari pertukaran untuk memindahkan pasar tipis ke arah mereka. Atau mereka mungkin menggunakan strategi sybil, membagi kepemilikan di banyak akun untuk muncul sebagai banyak pemilih independen sementara bertindak sebagai satu.
Kesimpulan dan Pertahanan
Apa yang menyatukan semua varian adalah tujuannya: mengumpulkan cukup bobot suara, dengan cara apa pun, untuk meloloskan proposal yang tidak akan disetujui oleh sisa komunitas, lalu mengubah proposal itu menjadi dana yang dicuri sebelum siapa pun dapat menghentikannya. Serangan BonkDAO cukup parah tetapi jauh dari yang pertama, dan catatan sejarah menunjukkan baik ketahanan pola maupun bagaimana pertahanan telah berkembang sebagai respons.
Serangan Beanstalk pada tahun 2022 adalah kasus pinjaman kilat yang klasik. Seorang penyerang mengambil pinjaman kilat yang sangat besar, menggunakannya untuk memperoleh supermajority dari token tata kelola protokol stablecoin, meloloskan proposal yang menguras kas, dan melunasi pinjaman, semuanya dalam satu transaksi. Hasilnya jauh lebih dari seratus juta dolar, dan seluruh operasi berlangsung dalam satu blok. Beanstalk menjadi contoh kanonik mengapa sistem tata kelola apa pun yang membiarkan token yang baru diperoleh memberikan suara segera, tanpa penundaan sebelum eksekusi, sangat rentan terhadap pinjaman kilat.
Episode Compound pada tahun 2024 menunjukkan bentuk yang lebih halus. Sekelompok yang terkait dengan paus terkenal mendorong proposal yang mengarahkan puluhan juta token protokol ke kendaraan yang mereka kendalikan, setelah mendelegasikan cukup token untuk memenuhi kuorum. Komunitas terpecah tentang apakah itu serangan atau tata kelola yang agresif tetapi sah, dan resolusi datang sebagian melalui ancaman intervensi terpusat dan sebagian melalui negosiasi, pengingat bahwa banyak DAO mempertahankan cadangan terpusat tepat karena pemungutan suara token murni dapat menghasilkan penangkapan.
Kasus Tornado Cash pada tahun 2023 memberikan twist yang menakutkan: seorang penyerang meloloskan proposal jahat yang memberikan mereka jumlah suara yang mengendalikan, secara efektif merebut seluruh sistem tata kelola. Setelah mengekstrak nilai, mereka menggunakan kekuatan yang ditangkap untuk mengatur ulang perubahan jahat. Tata kelola protokol privasi itu secara singkat berhenti ada sebagai entitas terdesentralisasi karena satu proposal menyerahkan satu aktor kontrol total.
Kasus-kasus yang lebih kecil, dari Build Finance hingga berbagai DAO memecoin, mengulangi pola pada taruhan yang lebih rendah. Pelajaran konsisten di seluruh mereka adalah bahwa kas hanya seaman aturan pemungutan suara yang melindunginya, dan bahwa kontrak pintar yang sempurna tidak menawarkan perlindungan ketika pemungutan suara itu sendiri adalah permukaan serangan.
Mengapa Serangan Tata Kelola Terus Berhasil?
Jika pertahanan diketahui, pertanyaan yang adil adalah mengapa serangan tata kelola terus berhasil. Jawabannya adalah bahwa setiap pertahanan mengorbankan sesuatu yang dihargai oleh DAO, dan trade-off tersebut benar-benar tidak nyaman, itulah sebabnya begitu banyak proyek menundanya sampai serangan memaksa masalah tersebut. Pertimbangkan ketegangan sentral. Seluruh premis DAO adalah partisipasi terbuka dan tanpa izin: siapa pun dapat memegang token, siapa pun dapat mengajukan proposal, siapa pun dapat memberikan suara, dan hasilnya mencerminkan komunitas alih-alih penjaga gerbang. Setiap pertahanan yang kuat terhadap serangan tata kelola menggerogoti keterbukaan itu.
Persyaratan kuorum yang tinggi dapat melumpuhkan DAO yang anggotanya jarang memberikan suara, membuatnya tidak mampu meloloskan proposal yang bahkan bersifat baik. Penguncian waktu yang panjang memperlambat kemampuan organisasi untuk merespons keadaan darurat yang nyata, kecepatan yang seharusnya ditingkatkan oleh tata kelola di rantai. Kontrol multisignature darurat atau komite veto memperkenalkan kembali kelompok yang dipercaya, yang merupakan bentuk sentralisasi yang ingin dihindari DAO. Setiap langkah pengaman membuat DAO lebih aman dan kurang terdesentralisasi pada saat yang sama, dan komunitas secara wajar enggan untuk melepaskan ideal yang menyatukan mereka.
Partisipasi yang rendah memperburuk masalah dan menolak solusi yang mudah. Sebagian besar DAO menderita partisipasi pemilih yang kronis rendah, dengan studi menemukan bahwa sebagian besar hanya memiliki beberapa pemilih aktif. Partisipasi yang rendah adalah satu-satunya kondisi yang membuat serangan tata kelola murah, karena mengurangi ambang token yang harus dicapai oleh penyerang. Namun, partisipasi tidak dapat sekadar diatur; itu mencerminkan kenyataan bahwa sebagian besar pemegang token bersifat pasif, memegang untuk harga daripada partisipasi, dan memiliki sedikit waktu atau keahlian untuk mengevaluasi proposal. Delegasi, di mana pemegang memberikan suara mereka kepada perwakilan yang terlibat, membantu, tetapi itu mengkonsentrasikan kekuasaan di delegasi dan memperkenalkan risiko penangkapan sendiri. Pasifitas yang memungkinkan serangan adalah fitur struktural kepemilikan token, bukan bug yang dapat dihilangkan oleh satu mekanisme.
Ada juga masalah yang lebih dalam bahwa pasar token tidak dapat membedakan pendukung dari penyerang. Keduanya hanyalah pembeli yang bersedia membayar untuk token, dan dari perspektif pasar mereka tidak dapat dibedakan hingga proposal jahat dieksekusi. Tata kelola berbobot token mengasumsikan keselarasan ekonomi, bahwa siapa pun yang memegang banyak token pasti ingin protokol berhasil. Namun, penyerang yang berencana untuk menguras kas dan membuang token tidak memiliki keselarasan semacam itu, dan tidak ada sinyal waktu pembelian yang mengungkapkan perbedaan tersebut.
Inilah sebabnya mengapa beberapa peneliti berpendapat bahwa pemungutan suara token saja tidak akan pernah sepenuhnya aman dan bahwa solusi yang tahan lama memerlukan masukan non-token, reputasi, identitas, atau riwayat kontribusi, yang tidak dapat dibeli oleh pasar. Pendekatan tersebut masih awal dan sulit untuk diterapkan tanpa memperkenalkan kembali penjaga gerbang.
Kesimpulan
Kesimpulan yang tidak nyaman adalah bahwa keamanan tata kelola bukanlah masalah yang terpecahkan dengan daftar periksa untuk diterapkan, tetapi batas desain yang hidup di mana setiap perbaikan mengorbankan beberapa desentralisasi. Konfigurasi yang paling murah dan paling terbuka, yang menjadi default bagi banyak DAO, adalah tepat yang paling menarik bagi penyerang. Karena serangan tata kelola mengeksploitasi desain, bukan kode, pertahanan adalah masalah desain mekanisme. DAO yang dikonfigurasi dengan baik dapat membuat serangan tidak menguntungkan meskipun tidak dapat membuatnya tidak mungkin.
Penguncian waktu adalah pertahanan yang paling penting. Penguncian waktu memberlakukan penundaan wajib antara proposal yang disetujui dan eksekusinya, dan melakukan dua hal sekaligus. Ini sepenuhnya memutus serangan pinjaman kilat, karena token yang dipinjam tidak dapat dipegang selama penundaan, mengalahkan persyaratan transaksi tunggal. Dan itu memberi komunitas jendela untuk memperhatikan proposal yang tidak biasa dan merespons sebelum kas bergerak.
Serangan BonkDAO, dengan jendela aktif enam harinya tetapi tampaknya tidak ada penundaan eksekusi atau reaksi yang efektif, menunjukkan bahwa periode pemungutan suara tidak sama dengan penguncian waktu; yang penting adalah penundaan yang keras antara persetujuan dan eksekusi di mana para pembela dapat bertindak. Persyaratan kuorum meningkatkan standar legitimasi. Kuorum menetapkan jumlah minimum partisipasi pemungutan suara untuk proposal agar disetujui, sehingga suara yang diputuskan oleh segelintir dompet tidak dihitung. Seandainya BonkDAO memerlukan kuorum yang substansial, suara tujuh dompet akan gagal terlepas dari bagaimana token penyerang didistribusikan.
Langkah-langkah terkait termasuk pemungutan suara keyakinan, di mana kekuatan suara meningkat semakin lama token dikomitmen, menghukum akumulasi mendadak yang menjadi andalan serangan, dan sistem delegasi yang meningkatkan partisipasi keseluruhan, yang secara mekanis meningkatkan token yang harus diperoleh penyerang. Kontrol darurat menyediakan garis pertahanan terakhir. Kontrol multisignature atas pergerakan kas besar, atau mekanisme veto yang memungkinkan aktor tepercaya untuk menghentikan atau menolak proposal yang jelas jahat, dapat menghentikan pengurasan bahkan setelah suara disetujui. Langkah-langkah ini mengurangi desentralisasi, yang merupakan trade-off nyata yang harus dipertimbangkan DAO, tetapi mereka ada tepat karena pemungutan suara token murni telah terbukti dapat dikuras berulang kali. Banyak protokol menjaga pengaman terpusat untuk skenario yang tepat seperti yang dihadapi Compound.
Akhirnya, membatasi apa yang dapat dilakukan tata kelola mengecilkan hadiah. Jika satu proposal tidak dapat secara sepihak memindahkan seluruh kas, dan jika pengeluaran besar memerlukan langkah atau persetujuan tambahan, nilai yang dapat diekstrak oleh penyerang berkurang, dan dengan itu insentif untuk menyerang sama sekali. Prinsip penyatu di seluruh pertahanan adalah membuat biaya memperoleh cukup suara melebihi nilai yang dapat dicuri, atau menyisipkan cukup penundaan dan gesekan sehingga komunitas dapat campur tangan sebelum pencurian selesai. DAO yang tidak melakukan keduanya, menyimpan kas besar di balik pemungutan suara token yang murah, segera, dan dengan partisipasi rendah, tidak menjalankan sistem tata kelola melainkan brankas yang tidak terkunci dengan kotak saran. Pelajaran dua puluh juta dolar dari BonkDAO adalah bahwa kotak saran, di tangan yang salah dan dengan cukup token di belakangnya, membuka brankas.
Konteks yang Lebih Luas
Konteks yang lebih luas adalah bahwa tata kelola menjadi target yang lebih besar seiring dengan semakin banyak nilai yang dimiliki DAO. Komunitas memecoin khususnya telah mengakumulasi kas yang substansial, sering kali dinyatakan dalam token yang tidak stabil yang nilainya dapat berfluktuasi tajam, sambil menjalankan sistem pemungutan suara yang sesederhana mungkin. Kombinasi hadiah yang kaya di balik kunci yang lemah adalah tepat apa yang dicari penyerang. Seiring dengan penyebaran tata kelola di rantai dari protokol eksperimental ke organisasi yang mengelola uang serius, kesenjangan antara DAO yang telah menguatkan pemungutan suara mereka dan yang belum menjadi salah satu garis pemisah yang paling jelas dalam keamanan crypto. Serangan-serangan ini tidak akan hilang, karena insentifnya bersifat struktural dan konfigurasi yang paling murah adalah yang paling rentan. Apa yang berubah, DAO demi DAO, adalah apakah kas berada di belakang pertahanan yang sebanding dengan ukurannya, atau di belakang suara yang dapat dimenangkan oleh empat juta dolar dan sebuah ruangan kosong.
Penafian
Penafian: Artikel ini hanya untuk tujuan informasi dan tidak merupakan nasihat investasi. Pasar aset digital sangat fluktuatif, dan Anda dapat kehilangan seluruh investasi Anda. Selalu lakukan riset Anda sendiri. Informasi terkini per 7 Juli 2026.