Governance-angrep forklart: fra Beanstalk til BonkDAO i 2026
Governance-angrep bruker en DAOs egne stemmeregler til å tømme kassen, uten en eneste kodefeil. Fra Beanstalks 182 millioner dollar i 2022 til BonkDAOs 20 millioner dollar i juli 2026.
Den 6. juli 2026 brukte en ukjent aktør rundt fire millioner dollar på å kjøpe opp token i BonkDAO. Fem dager senere var 20 millioner dollar borte fra kassen, uten at en eneste linje kode ble brutt opp. Stemmene var ekte, prosessen fulgte protokollens egne regler til punkt og prikke, og pengene forsvant likevel. Dette er kjernen i det som kalles et governance-angrep: en metode der angriperen ikke bryter seg inn i systemet, men kjøper seg retten til å tømme det, lovlig, innenfra.
Hva er et governance-angrep?
Et governance-angrep skjer når noen skaffer seg nok stemmerett i en DAO (Decentralized Autonomous Organization) til å presse gjennom et forslag som protokollens egne regler tillater, men som fellesskapet aldri ville godkjent hvis det visste hva forslaget faktisk gjorde. Sikkerhetsselskapet Halborn definerer det som et angrep der noen klarer å manipulere blokkjede-prosjekter som bruker desentraliserte styringsstrukturer, ved å skaffe seg nok stemmerett til å omforme reglene eller påvirke nok token-holdere til å stemme partisk over et forslag, se Halborns gjennomgang av angrepstypen.
Dette skiller seg fundamentalt fra et klassisk hack. Når en bro blir hacket, er det en kodefeil, en forfalsket signatur eller en kompromittert nøkkel som svikter. Ved et governance-angrep svikter ingenting teknisk i det hele tatt. Smart-kontrakten gjør nøyaktig det den er programmert til å gjøre: den teller stemmer, sjekker om terskelen er nådd, og utfører forslaget. Problemet ligger i hvem som eier stemmene, ikke i koden som teller dem.
HOGE Wire har tidligere forklart grunnmekanikken i denne angrepstypen. Siden den gang har mønsteret bare blitt tydeligere: sommeren 2026 viste BonkDAO at det samme trikset fortsatt fungerer, fire år etter at Beanstalk Farms skrev læreboken i kategorien.
Anatomien til on-chain-styring
For å forstå hvorfor angrepet fungerer, må man forstå hvordan styringen faktisk er bygget opp. De aller fleste DeFi-protokoller, som Compound, Uniswap, Aave og Curve, bruker en variant av samme mal, ofte bygget på rammeverket OpenZeppelin Governor eller distribuert gjennom styringsplattformer som Tally og Snapshot.
- Governance-token gir stemmerett proporsjonalt med hvor mye man eier eller har fått delegert. Ett token, én stemme, uansett om eieren er en enkeltperson med noen få kroner investert eller et fond med hundrevis av millioner.
- Forslag er kodede handlinger, for eksempel å sende en gitt sum token fra kassen til en bestemt adresse, som hvem som helst med nok token kan sette til avstemning.
- Quorum er minstekravet til deltakelse for at en avstemning i det hele tatt skal telle. På styringsplattformen Tally ligger quorum typisk på mellom 1 og 10 prosent av token-forsyningen.
- Stemmeperiode er tidsvinduet forslaget er åpent for avstemning, ofte tre til syv dager.
- Timelock er en innebygd forsinkelse mellom vedtak og utførelse, normalt et par dager, som skal gi fellesskapet tid til å oppdage og reagere på et ondsinnet forslag før pengene faktisk flytter seg.
Når alle disse leddene fungerer som tiltenkt, er systemet robust. Svakheten er at hvert ledd kan svekkes eller omgås hver for seg, og et governance-angrep er som regel et angrep på ett spesifikt ledd i denne kjeden, sjelden på hele systemet samtidig. Mange mindre DAO-er kopierer dessuten standardoppsettet uten å justere quorum eller timelock til sin egen, ofte langt tynnere, markedsverdi, noe som i praksis senker kostnaden for et angrep betraktelig.
Fire angrepsmetoder
Selv om hver sak har sine egne detaljer, faller de aller fleste governance-angrepene i praksis inn i fire hovedkategorier.
- Flash loan-basert stemmevekt: Angriperen låner enorme summer i én transaksjon, konverterer lånet til stemmeberettiget token, stemmer gjennom et forslag og betaler tilbake lånet før transaksjonen er ferdig. Beanstalk Farms er skoleeksempelet.
- Ondsinnet forslagsinnhold: Et forslag som ser ut som en rutinemessig oppgradering, men som inneholder en skjult funksjon angriperen selv har lagt til. Tornado Cash-saken viser mønsteret.
- Åpent, gradvis tokenoppkjøp: Angriperen kjøper seg opp over dager eller uker på det åpne markedet, uten å bryte noen regler, og bruker deretter den nyervervede stemmevekten til å presse gjennom et forslag et bredere fellesskap ville avvist. Build Finance DAO og Compounds «Golden Boys»-sak er eksempler.
- Utnyttelse av lavt quorum: Når de fleste token-holdere aldri stemmer, kan en relativt beskjeden sum holde nok stemmevekt til alene å oppfylle quorum og vedta et forslag. BonkDAO i juli 2026 er det ferskeste og mest ekstreme eksempelet, med bare syv lommebøker som deltok i avstemningen.
I praksis overlapper metodene ofte. BonkDAO kombinerte metode tre og fire, mens Beanstalk kombinerte metode én og fire, ettersom lavt quorum gjorde flash loanet langt mer effektivt enn det ellers ville vært.
Beanstalk Farms: angrepet som skrev læreboken (april 2022)
Beanstalk Farms var en kredittbasert stablecoin-protokoll på Ethereum, styrt av et governance-token kalt Stalk. 17. og 18. april 2022 tok en angriper opp om lag 1 milliard dollar i et flash loan fra Aave, konverterte deler av lånet til likviditetstoken, og byttet disse inn i Stalk. På få sekunder kontrollerte angriperen over 67 prosent av all stemmevekt i protokollen, godt over de to tredjedelene som kreves for Beanstalks «emergencyCommit»-funksjon, en snarvei ment for hastesaker som lar et forslag omgå den normale ventetiden, ifølge Bloomberg.
Med den makten vedtok og utførte angriperen to forslag i samme transaksjon. Det første tømte protokollens kasse for det meste av verdien den inneholdt, til sammen rundt 182 millioner dollar (ca. 1,77 milliarder kroner). Det andre sendte 250 000 dollar i BEAN til en innsamlingsadresse for Ukraina, et påfallende PR-grep midt i et ran, ifølge CoinDesk. Etter at flash loanet var betalt tilbake, satt angriperen igjen med rundt 76 millioner dollar (ca. 737 millioner kroner) i ren gevinst.
Beanstalk-saken ble en referanse for hele bransjen fordi den viste at et forslag kan gå fra innsendt til fullt utført på under ett minutt når det ikke finnes noen reell timelock. De fleste protokoller bygget etter 2022 har lagt inn eksplisitt beskyttelse mot nettopp denne varianten, men som BonkDAO skulle vise fire år senere, er beskyttelsen langt fra universell.
Build Finance DAO: det stille kuppet (februar 2022)
To måneder før Beanstalk viste en langt mindre kjent sak at man ikke trenger noe flash loan i det hele tatt. Build Finance DAO, en liten utviklerfokusert DAO, ble 10. februar 2022 kuppet av en anonym aktør som over tid hadde bygget seg opp en dominerende andel av BUILD-token, ifølge The Block.
Angriperen fremmet et forslag som overførte full kontroll, inkludert retten til å mynte nye token, til egen adresse. Ifølge Build-teamet la praktisk talt ingen merke til forslaget, fordi angriperen bevisst hadde deaktivert varslingsboten og dokumentasjonen som normalt gjorde fellesskapet oppmerksom på nye forslag. Da vedtaket var et faktum, myntet angriperen 1,1 millioner nye BUILD-token, tømte likviditetspoolene på Balancer og Uniswap, og tok i tillegg 130 000 METRIC-token fra kassen. Totalt endte angriperen opp med verdier tilsvarende rundt 160 ETH, den gang om lag 470 000 dollar (ca. 4,6 millioner kroner), som deretter ble vasket gjennom miksetjenesten Tornado Cash.
Build Finance DAO illustrerer et poeng som går igjen i nesten alle sakene i denne artikkelen: angrepet krever ikke hemmelighold av selve transaksjonen, siden alt skjer åpent på en blokkjede, bare hemmelighold av oppmerksomheten rundt den.
Tornado Cash: kuppet som ga makten tilbake (mai 2023)
Tornado Cash, personvernprotokollen for Ethereum som selv dukker opp som hvitvaskingskanal i flere av sakene i denne artikkelen, ble rammet av sitt eget governance-angrep 20. mai 2023. En angriper sendte inn et forslag som så identisk ut med et tidligere, allerede godkjent forslag, men som inneholdt én ekstra, skjult funksjon. Da forslaget ble vedtatt, brukte angriperen den skjulte funksjonen til å tildele seg selv 1,2 millioner stemmer, langt over terskelen på 700 000, ifølge CoinDesk.
Med full kontroll over styringskontrakten drenerte angriperen rundt 483 000 TORN, den gang verdt om lag 2,17 millioner dollar (ca. 21 millioner kroner), fra protokollens hvelv, ifølge The Block. TORN-token falt rundt 40 prosent på nyheten.
Det påfølgende forløpet er uvanlig. Bare timer etter angrepet tok den samme aktøren kontakt med fellesskapet og fremmet et nytt forslag, denne gangen om å gi kontrollen tilbake til de opprinnelige token-holderne. 26. mai ble forslaget vedtatt med 517 000 stemmer for og null imot. Hvorfor angriperen valgte å gi fra seg makten, er aldri blitt fullt ut forklart, men saken viser at selv et vellykket governance-angrep krever at angriperen på et tidspunkt løser inn gevinsten, noe som skaper et sporbart spor tilbake til dem, uansett hvor anonymt selve stemmekuppet var.
Audius og Mango Markets: to grensetilfeller
Ikke alle saker er rendyrkede governance-angrep i tradisjonell forstand. To eksempler viser hvor uklar grensen kan være.
Musikkplattformen Audius ble rammet 23. juli 2022, da en angriper utnyttet en feil i initialiseringskoden til styrings- og delegeringskontraktene som gjorde det mulig å kalle initialiseringsfunksjonen på nytt. Feilen ga angriperen kontroll til å forfalske sin egen delegerte stemmevekt og deretter vedta forslag som overførte 18,5 millioner AUDIO-token, den gang rundt 6 millioner dollar (ca. 58,7 millioner kroner), fra fellesskapets kasse til egen lommebok, ifølge Audius’ egen etterrapport. Angriperen rakk å veksle inn litt over 1 million dollar før teamet fikk stanset resten. Det pikante poenget er at de sårbare kontraktene var revidert to ganger av OpenZeppelin uten at feilen ble fanget opp, et godt argument for hvorfor revisorer som CertiK i økende grad tester styringslogikk spesifikt, ikke bare den generelle kontraktkoden.
Mango Markets er det motsatte tilfellet: et angrep som startet som ren prismanipulasjon, men som endte som en styringsavstemning. 11. oktober 2022 blåste Avraham Eisenberg opp prisen på MNGO-derivatet han selv satt med en stor posisjon i, brukte den kunstig høye verdien som sikkerhet, og lånte ut protokollens kasse for rundt 110 millioner dollar (ca. 1,07 milliarder kroner). I stedet for å forsvinne, la Eisenberg fram et forslag for DAO-en: la ham beholde 47 millioner dollar (ca. 456 millioner kroner) som en «bug-bounty» mot at han returnerte 67 millioner dollar (ca. 650 millioner kroner) og at protokollen avsto fra å anmelde saken. Forslaget ble vedtatt 15. oktober med 96,6 prosent av stemmene, ifølge CoinDesk. Eisenberg selv omtalte det hele offentlig som «en lovlig, svært lønnsom handelsstrategi, ved å bruke protokollen slik den var designet».
Den DAO-godkjente avtalen viste seg imidlertid verdiløs mot amerikansk lov. Eisenberg ble arrestert i Puerto Rico i desember 2022 og senere dømt for varebedrageri og markedsmanipulasjon, uansett hva et token-flertall hadde stemt for noen måneder tidligere. Det er kanskje det viktigste enkeltpoenget i hele denne artikkelen: en DAO-avstemning kan flytte penger, men den kan ikke gi juridisk immunitet.
BonkDAO, juli 2026: mønsteret gjentar seg
Fire år etter Beanstalk beviste BonkDAO at ingenting fundamentalt har endret seg for protokoller som ikke har lært av historien. BonkDAO styrer deler av kassen til meme-token-prosjektet BONK gjennom en on-chain-avstemning der 1 prosent av tilbudet utgjør quorum.
30. juni 2026 ble et forslag med tittelen «Sowellian BonkDAO» sendt inn, med løfter om å innføre nytt styresett, installere nye medlemmer og et nytt råd, og «gjenoppbygge fra asken». 4. og 5. juli kjøpte en ukjent aktør seg gradvis opp i BONK gjennom flere børslommebøker, for til sammen rundt 4 millioner dollar (ca. 38,8 millioner kroner). Da avstemningen stengte 6. juli, hadde bare syv lommebøker deltatt av over 18 000 stemmeberettigede, et oppmøte på 2,9 prosent, og lommebøker knyttet til angriperen sto for 99,9 prosent av alle avgitte stemmer. Forslaget ble automatisk vedtatt og utført, og 4,43 billioner BONK, verdt rundt 20 millioner dollar (ca. 194 millioner kroner), ble overført til angriperens lommebok, ifølge CoinDesk.
Rundt 5,3 millioner dollar ble solgt umiddelbart, mens 19 millioner dollar ble flyttet videre til en multisig-adresse. BONK falt rundt 8 til 10 prosent på nyheten. BonkDAO-teamet sporet lommebøkene til en børskonto og samarbeidet med børser og andre nettverk i et forsøk på å fryse og gjenvinne midlene, og minst én børs stanset uttak av BONK i påvente av etterforskning. Saken illustrerer et bredere poeng: koden fungerte akkurat som programmert, og reglene ble fulgt til punkt og prikke, men pengene forsvant likevel, fordi reglene selv tillot det.
BonkDAO er dermed det klareste beviset så langt i 2026 på at lavt oppmøte, ikke sofistikert kode, er den vanligste enkeltårsaken til at governance-angrep fortsatt lykkes.
Stemmekjøp som forretningsmodell: Curve-krigene
Ikke all stemmekjøp regnes som et angrep. På Curve Finance er det å kjøpe innflytelse over styringen en helt åpen og legitim industri, kjent som «Curve-krigene».
Modellen fungerer slik: token-holdere låser CRV i opptil fire år og mottar veCRV (vote-escrowed CRV) i bytte, ifølge Curves egen dokumentasjon. veCRV-beholdningen avgjør både stemmerett i DAO-en og, viktigere for krigene, hvor mye av de ukentlige CRV-utstedelsene som går til hvilken likviditetspool, gjennom såkalt gauge voting. Protokoller som ønsker mer likviditet i sin pool, konkurrerer dermed om å samle mest mulig veCRV-innflytelse, enten selv eller gjennom mellomledd.
Convex Finance vant denne konkurransen tidlig ved å samle innskutt CRV på vegne av tusenvis av brukere, og kontrollerer fortsatt rundt halvparten av all veCRV. Markedsplasser som Votium og Hidden Hand gjør hele prosessen enda mer eksplisitt: protokoller betaler rett og slett veCRV- og vlCVX-holdere for å stemme en bestemt vei, en åpen «bribe»-økonomi som fortsatt er aktiv i 2026, om enn i mindre skala enn under toppåret 2021, delvis fordi CRV-utstedelsen kuttes med rundt 16 prosent hvert år og dermed gjør hver stemme mindre verdt å kjøpe.
Forskjellen mellom dette og et governance-angrep er åpenhet og samtykke. Curve-krigene er en kjent og ønsket del av protokollens design, annonsert offentlig og drevet av partnerskap. Et governance-angrep skjuler enten hensikten, slik som i Tornado Cash-saken, utnytter et hull i mekanikken, slik som i Beanstalk og BonkDAO, eller presser gjennom noe fellesskapet tydelig protesterer mot, slik neste sak viser. Men de to fenomenene deler samme grunnpremiss: i on-chain-styring er stemmerett en vare som kan kjøpes, og prisen på et flertall er ofte lavere enn folk tror.
Compounds «Golden Boys»: når åpent tokenkjøp blir et de facto kupp (juli 2024)
Sommeren 2024 viste Compound Finance hvor tynn linjen mellom lovlig markedsaktivitet og et governance-angrep egentlig er. En gruppe som kalte seg «Golden Boys», ledet av en aktør kjent under navnet Humpy, hadde over tid kjøpt seg opp i COMP-token på det åpne markedet, helt innenfor reglene.
28. juli 2024 fremmet gruppen forslag 289, som ville allokere 499 000 COMP-token, den gang rundt 24 millioner dollar (ca. 233 millioner kroner) og fem prosent av hele kassen, til et rentebærende produkt Golden Boys selv hadde utviklet. Forslaget ble vedtatt med et svært knapt flertall, 682 191 mot 633 636 stemmer, ifølge The Block.
Reaksjonen kom raskt. Michael Lewellen, sikkerhetsrådgiver for Compound og løsningsarkitekt hos OpenZeppelin, skrev offentlig at «etter min personlige mening kan handlingene til Humpy og Golden Boys regnes som et governance-angrep dersom de fortsetter». Kritikere pekte særlig på at midlene skulle kontrolleres av en multisig utenfor DAO-ens direkte rekkevidde, slik at fellesskapet ikke kunne kalle pengene tilbake selv om det angret seg.
Etter ukevis med offentlig press ble forslaget til slutt trukket. Humpy gikk med på å kansellere det, mot at Compound i stedet utviklet et konkurrerende produkt som dekket samme behov. Ingen lov ble brutt noe sted i denne saken, og det var nettopp poenget: Golden Boys brukte et fullstendig lovlig kjøp av token til å skaffe seg stemmemakt et bredt flertall aldri ønsket å gi dem, det samme grunnleggende mønsteret som BonkDAO-angriperen gjentok to år senere, bare uten det åpne markedskjøpet og den offentlige identiteten.
Governance-angrep i tall
Tabellen under samler de sentrale sakene omtalt i denne artikkelen, med tidspunkt, metode og omtrentlig tap omregnet til norske kroner etter en kurs på rundt 9,7 kroner per dollar (kurs medio juli 2026).
| Protokoll | Dato | Metode | Tap (USD) | Tap (NOK, ca.) | Utfall |
|---|---|---|---|---|---|
| Beanstalk Farms | April 2022 | Flash loan og nødstemme | ca. 182 mill. dollar | ca. 1,77 mrd. kroner | Angriper beholdt ca. 76 mill. dollar |
| Build Finance DAO | Februar 2022 | Stille tokenoppkjøp | ca. 470 000 dollar | ca. 4,6 mill. kroner | Midler vasket via Tornado Cash |
| Audius | Juli 2022 | Feil i initialiseringskode | ca. 6 mill. dollar | ca. 58,7 mill. kroner | Delvis stanset, kode oppdatert |
| Mango Markets | Oktober 2022 | Prismanipulasjon og DAO-avstemning | ca. 110 mill. dollar | ca. 1,07 mrd. kroner | Eisenberg dømt i USA i 2024 |
| Tornado Cash | Mai 2023 | Ondsinnet forslags-payload | ca. 2,17 mill. dollar | ca. 21 mill. kroner | Makt gitt tilbake 6 dager senere |
| Compound (Golden Boys) | Juli 2024 | Åpent tokenoppkjøp, knapt flertall | ca. 24 mill. dollar allokert | ca. 233 mill. kroner | Forslag trukket etter forlik |
| BonkDAO | Juli 2026 | Lavt quorum kjøpt opp | ca. 20 mill. dollar | ca. 194 mill. kroner | Delvis sporet, gjenoppretting pågår |
Til sammenligning ble det stjålet rundt 972 millioner dollar (ca. 9,4 milliarder kroner) fordelt på 207 hendelser i kryptobransjen totalt i første halvår 2026, det høyeste antallet hendelser som noensinne er registrert i en seksmånedersperiode, ifølge sikkerhetsselskapet Immunefis halvårsrapport, referert av The Block. Tapene knyttet spesifikt til DeFi falt til 680,3 millioner dollar (ca. 6,6 milliarder kroner), ned 74 prosent fra toppåret 2022, da tallet var 2,62 milliarder dollar. Immunefi-sjef Mitchell Amador oppsummerte utviklingen slik: «Krypto-sikkerhet er et våpenkappløp, og det stopper aldri opp. Den ærlige lesningen av tallene er enkel: bransjen lærer».
Det som ikke faller i takt med resten av bransjen, er nettopp governance-angrep. Mens kodefeil, bro-sårbarheter og reentrancy-angrep i økende grad fanges opp av revisorer og overvåkingsverktøy før de utnyttes, krever et governance-angrep ingen kodefeil i det hele tatt. Det er trolig en del av grunnen til at BonkDAO kunne skje i 2026, fire år og flere titalls millioner dollar i dokumenterte tap etter Beanstalk.
Forsvarslinjer: quorum, timelock og sikkerhetsråd
De protokollene som har unngått governance-angrep, deler som regel noen konkrete tekniske og organisatoriske valg. Ingen av dem er vanntette alene, men lagt oppå hverandre gjør de et angrep vesentlig dyrere å gjennomføre.
| Mekanisme | Hva den gjør | Eksempel | Svakhet |
|---|---|---|---|
| Timelock | Forsinker utførelse etter vedtak, gir tid til å reagere | Compound Governor Bravo | Ubrukelig hvis angriperen også kontrollerer timelocken |
| Quorum-krav | Krever minimumsdeltakelse for gyldig vedtak | Typisk 1 til 10 prosent av tilbudet på Tally-baserte DAO-er | Billig å kjøpe opp i tynt omsatte token, som i BonkDAO |
| Guardian / sikkerhetsråd | Kan sette forslag på pause eller kansellere i en nødsituasjon | Multisig-baserte nødbrytere i flere store protokoller | Sentraliserer makt og er prinsipielt upopulært |
| Blokkbasert stemmesnapshot | Bruker historisk saldo, ikke saldo i samme transaksjon | OpenZeppelin Governor | Stopper flash loan-angrep, men ikke gradvis oppkjøp over tid |
| Forslagskostnad | Krever innskudd eller minimumsbeholdning for å fremme et forslag | Anbefalt av blant andre Halborn | Kan også hindre reell fellesskapsdeltakelse hvis satt for høyt |
Et tidlig og lite omtalt eksempel på at forsvar faktisk virker, er Yam Finance, som avvergde et forsøk på nettopp denne typen angrep på sine reserver allerede i DeFis tidlige år, ifølge Halborns oversikt over governance-angrep. Det viser at et velfungerende sikkerhetsråd med reell fullmakt til å stanse en utførelse, ikke bare på papiret, er forskjellen mellom en avverget hendelse ingen husker og en overskrift som denne artikkelen.
Sikkerhetsselskapet Halborn, som HOGE Wire tidligere har omtalt i forbindelse med Rab13s-svindelen i Dogecoin-økosystemet, peker på at forslagskostnad og bevisstgjøring av fellesskapet er blant de enkleste og mest oversette forsvarslinjene. Samme disiplin som beskrives i HOGE Wires gjennomgang av multisig-sikkerhet og blindsignering, altså å faktisk lese hva man signerer før man signerer det, gjelder like mye når man stemmer over et DAO-forslag som når man godkjenner en multisig-transaksjon.
Regulatorisk og skattemessig kontekst for norske investorer
For norske lesere kommer governance-angrep med et ekstra lag av kompleksitet, fordi DAO-er i praksis faller utenfor det meste av dagens finansregulering.
1. juli 2026 utløp overgangsordningen etter kryptoeiendelsloven, den norske gjennomføringen av EUs MiCA-regelverk. Fra den datoen må alle som tilbyr kryptotjenester til norske kunder enten være godkjent av Finanstilsynet eller avvikle virksomheten på en ordnet måte, ifølge Finanstilsynets egen uttalelse. Men MiCA regulerer i all hovedsak sentraliserte tjenestetilbydere, børser, forvaltere og lignende. En DAO uten juridisk selskapsform, som Beanstalk, BonkDAO eller Compound, har intet tilsvarende lisenskrav og ingen naturlig norsk tilsynsmyndighet å svare til. Det samme gjelder MiCAs regler mot markedsmanipulasjon: de er skrevet for lisensierte aktører, ikke for en anonym flertallsstemme i en DAO. Det er en del av grunnen til at Mango Markets-saken måtte løses i amerikansk strafferett og ikke av noe finanstilsyn. DAO-avstemningen hadde simpelthen ingen juridisk status å bygge en frifinnelse på.
Siden juni 2026 gjelder også DORA (Digital Operational Resilience Act) fullt ut for MiCA-regulerte foretak i EU/EØS, med krav om at finansforetak, inkludert kryptotjenestetilbydere, rapporterer alvorlige IT-hendelser til tilsynsmyndighetene. Dersom en norsk aktør har eksponering mot en protokoll som rammes av et governance-angrep, for eksempel gjennom et forvaltningsprodukt bygget oppå den, kan det utløse rapporteringsplikt selv om selve angrepet skjedde i en DAO uten norsk tilknytning.
På skattesiden er situasjonen enklere, men strengere enn mange tror. Gevinst ved realisasjon av kryptoformue, inkludert token man eventuelt mottar som kompensasjon eller gjenvinner etter et angrep, regnes som kapitalinntekt og skattlegges med 22 prosent, ifølge Skatteetaten. Nettoformue i krypto over 1,7 millioner kroner utløser i tillegg formuesskatt. Fra 1. januar 2026 må dessuten børser som opererer i Norge eller har norske kunder rapportere kontoopplysninger direkte til Skatteetaten under det OECD-utviklede rammeverket CARF (Crypto-Asset Reporting Framework), noe som gjør det vesentlig vanskeligere for angripere å hvitvaske utbytte gjennom børser med norsk tilstedeværelse, akkurat den typen sporing BonkDAO-teamet benyttet i jakten på sine 20 millioner dollar.
Slik beskytter du deg som token-holder eller DAO-deltaker
Governance-angrep rammer sjelden enkeltpersoner direkte, men de rammer verdien av token man eier og protokoller man har midler plassert i. Noen enkle vaner reduserer risikoen betraktelig.
- Deleger stemmen din aktivt, eller stem selv, i protokoller du har verdier i. Lavt oppmøte er den enkeltfaktoren som går igjen i nesten alle sakene i denne artikkelen, fra Build Finance DAO til BonkDAO.
- Sjekk quorum og timelock før du stoler på en DAO-kasse med sparepengene dine. En protokoll uten reell forsinkelse mellom vedtak og utførelse er strukturelt sårbar, uansett hvor lenge den har eksistert uten problemer.
- Følg med på uvanlig tokenakkumulering. Verktøy som viser store, gradvise kjøp fordelt på flere lommebøker, samme mønster som i BonkDAO og Build Finance DAO, gir ofte varsel dager før et forslag i det hele tatt fremmes.
- Les hva du faktisk stemmer for. Et forslag som «ser identisk ut» med et tidligere godkjent forslag, slik som i Tornado Cash-saken, kan skjule én enkelt ny funksjon som endrer alt.
- Ikke forveksle en DAO-avstemning med et juridisk vedtak. Som Mango Markets-saken viser, kan et flertall i en DAO verken frita noen for straffansvar eller garantere at penger man er lovet, faktisk kommer tilbake.
Ofte stilte spørsmål
Hva er et governance-angrep?
Et governance-angrep er når noen skaffer seg nok stemmerett i en DAO til å vedta og utføre et forslag som tapper protokollens kasse eller gir angriperen kontroll, uten å utnytte noen feil i selve koden. Systemet fungerer som programmert, problemet er hvem som eier stemmene.
Hvordan skiller et governance-angrep seg fra et vanlig hack?
Et tradisjonelt hack, som de fleste bro-hack, utnytter en svakhet i koden, en forfalsket signatur eller en stjålet nøkkel. Et governance-angrep utnytter i stedet protokollens egne, lovlige styringsregler: nok stemmer vinner, uansett hvor stemmene kom fra eller hvor lenge de ble holdt.
Hvordan kan en DAO beskytte seg mot et governance-angrep?
De mest effektive tiltakene er en reell timelock mellom vedtak og utførelse, et quorum som ikke enkelt kan kjøpes opp av én aktør, stemmevekt basert på historisk saldo i stedet for saldo i samme transaksjon, og et sikkerhetsråd eller en guardian-multisig med reell fullmakt til å stanse mistenkelige forslag.
Er stemmekjøp (vote-buying) i DeFi ulovlig?
Ikke nødvendigvis. Åpne bribe-markeder som Votium, der protokoller betaler token-holdere for å stemme en bestemt vei i Curve-krigene, regnes som en legitim og gjennomsiktig del av DeFi-økonomien. Det blir kontroversielt, som i Compounds Golden Boys-sak, når konsentrert kjøpekraft presser gjennom noe et bredt flertall tydelig ikke ønsker.
Hva skjedde i BonkDAO-angrepet i juli 2026?
En ukjent aktør brukte rundt 4 millioner dollar på å kjøpe BONK-token, og siden bare syv lommebøker deltok i avstemningen, kontrollerte angriperen 99,9 prosent av stemmene. Et forslag som tømte rundt 20 millioner dollar fra DAO-ens kasse ble dermed vedtatt og utført automatisk 6. juli 2026.
Skrevet av HOGE Wire-redaksjonen.