logo
$7M Ultimate Champion
Regístrate y obtén 15.000 USDT en recompensas
¡Una oferta por tiempo limitado te espera!

Ataque de Gobernanza a BonkDAO: Cómo se Drenaron $20M del Tesoro

Puntos clave

Un actor gastó $4,4M para adquirir 1% de BONK, alcanzó el quórum con baja participación y retiró $20M del tesoro de BonkDAO. Así funcionó el ataque de gobernanza.

El 7 de julio de 2026, un actor aprovechó el sistema de gobernanza de BonkDAO para retirar cerca de 20 millones de dólares en BONK del tesoro, sin explotar fallos en el código, ni robar claves privadas ni emplear técnicas de phishing. Simplemente compró el poder de voto suficiente para aprobar una propuesta que ordenaba el pago desde el tesoro a su cartera, cumpliendo con las reglas del DAO. Tras divulgarse la noticia, BONK cayó alrededor de un 9% en la red de Solana.

Este tipo de ataque es una de las principales preocupaciones para los responsables de DAOs, ya que no se trató de un error en el código, sino del funcionamiento ordinario de la gobernanza. A continuación se explica cómo se obtuvo el control de la votación, por qué las matemáticas favorecieron al atacante y qué limitaciones persisten en el sistema de voto ponderado por tokens.

Cómo se drenó el tesoro de BonkDAO con una sola votación

BONK, el memecoin que se ha convertido en símbolo de Solana, está gobernado por la comunidad BonkDAO mediante propuestas en cadena. Los miembros poseen BONK, se publican propuestas y los tenedores de tokens votan a favor o en contra. Cuantos más tokens se posean, mayor es el peso del voto. Este último punto es clave.

Antes de la votación, el atacante adquirió, a través de varias plataformas de intercambio centralizadas, aproximadamente 4,4 millones de dólares en BONK, logrando superar el 1% de la oferta circulante. En principio, el 1% de un memecoin puede parecer insignificante, pero en una DAO con baja participación fue suficiente para convertirse en el votante con mayor poder.

La propuesta, titulada "BIP #76 - Sowellian BonkDAO", parecía una gestión rutinaria. Sin embargo, en la letra pequeña incluía la transferencia de 4,43 billones de BONK desde el tesoro a una cartera controlada por el atacante. La mayoría de miembros no llegó a leer esa parte, y la gran mayoría tampoco votó.

Al cerrar la ventana de votación, la propuesta BIP #76 obtuvo un 99,9% de aprobación, pero solo de 7 carteras. Más de 18.000 miembros no participaron, resultando en una participación de apenas 2,9%. El atacante no convenció a la comunidad; simplemente aprovechó la escasa participación para decidir el resultado.

La matemática de comprar una mayoría de gobernanza

La gobernanza ponderada por tokens depende de dos cifras: el quórum (mínimo de votos necesario para validar el resultado) y el conteo de votos a favor o en contra. Un atacante que controla ambos aspectos puede determinar el desenlace. En este caso, la propuesta pasó el quórum por uno de los márgenes más estrechos registrados.

El margen fue mínimo. El lado "sí" reunió 882,38 mil millones de BONK frente a un quórum de 879,95 mil millones, una diferencia de menos del 0,5%. No fue necesaria una fuerza abrumadora, sino adquirir el peso justo para superar el umbral con baja vigilancia de otros miembros.

Métrica de voto Cifra Qué indica
Costo para comprar 1% del suministro ~$4,4 millones Precio de una mayoría de voto temporal
Carteras que votaron sí 7 Cuántos participantes decidieron el resultado
Porcentaje de aprobación 99,9% No hubo oposición organizada
Participación en la votación 2,9% Más de 18.000 miembros no votaron
Votos sí vs quórum 882,38B vs 879,95B BONK Margen extremadamente ajustado
Fondos drenados del tesoro 4,43 billones de BONK (~$20M) Pago oculto en los detalles de la propuesta

La economía detrás de este ataque es lo que lo vuelve riesgoso. El atacante gastó aproximadamente 4,4 millones de dólares para extraer cerca de 20 millones, una relación de más de cuatro a uno antes de considerar el impacto de mercado al vender los BONK obtenidos. Si el costo de obtener una mayoría es mucho menor que el valor del tesoro, el ataque resulta rentable.

Qué es realmente un ataque de gobernanza

Un ataque de gobernanza no es un hackeo en el sentido tradicional: no se explota un error, sino que el atacante obtiene suficiente poder de voto legítimo para aprobar decisiones que extraen valor del protocolo, todo bajo las reglas vigentes. En el ecosistema DeFi, es uno de los riesgos más difíciles de mitigar porque, a nivel de código, el uso legítimo y el abuso pueden parecer idénticos.

Este patrón es casi tan antiguo como los DAOs. En 2016, el DAO original de Ethereum colapsó tras la explotación de un bug y la sustracción de fondos, lo que llevó a una bifurcación. El colapso de The DAO fue una falla de código; el caso BIP #76 es su equivalente moderno, pero sin requerir ningún fallo técnico.

Tres condiciones hicieron de BonkDAO un objetivo, aplicables también a muchos otros protocolos:

Baja participación abre la puerta. Con solo 2,9% de miembros votando, basta con superar a esa pequeña fracción activa. La apatía, no el código, es la vulnerabilidad.

El poder de voto está disponible en el mercado. Dado que el peso de gobernanza equivale a la cantidad de tokens, cualquier persona con capital puede comprar una mayoría. El atacante adquirió el 1% del suministro usando intercambios públicos, sin acceso privilegiado.

Quórums bajos pueden aprovecharse. Un quórum fijo que parece razonable en tiempos normales puede resultar fácil de alcanzar si la participación cae. BIP #76 superó el umbral de 879,95 mil millones de BONK por menos del 0,5%.

Por eso este patrón se repite en incidentes de seguridad. Una tendencia en las explotaciones DeFi en 2026 es que los atacantes apuntan más a la gobernanza y el diseño económico que al código en sí, ya que la capa humana es más vulnerable que la criptografía. BONK, como memecoin de Solana, surgió de una cultura de lanzamiento rápido de tokens, con una base de tenedores grande, distribuida y en gran parte pasiva, justo el perfil que buscan los atacantes de gobernanza.

Respuesta de BonkDAO y Solana

BonkDAO confirmó el ataque públicamente y tomó medidas de contención. En una declaración publicada en la cuenta oficial de X del proyecto, el equipo informó que ya había rastreado las carteras de intercambio empleadas para comprar BONK antes de la votación y que estaba coordinando acciones con exchanges, operadores de bridges y la Fundación Solana para monitorear los fondos sustraídos y congelar lo posible.

Esto es relevante porque el principal desafío del atacante ahora es convertir los fondos en liquidez. Los BONK drenados solo valen 20 millones en teoría; convertir 4,43 billones de tokens en valor utilizable requiere usar exchanges centralizados o bridges, que son precisamente los puntos de control que BonkDAO supervisa. Si las direcciones identificadas son bloqueadas, gran parte del tesoro podría quedar inoperativo.

El mercado reaccionó de manera rápida pero contenida. La caída de BONK de cerca del 9% reflejó el impacto inicial y el temor a que los fondos sustraídos sean vendidos, aunque la bajada se limitó básicamente al propio token. Puedes seguir la evolución del precio mediante los datos de mercado en vivo de BONK y el estado general del ecosistema de Solana a través de las métricas DeFi en DefiLlama.

El debate más complejo es de tipo filosófico, y la comunidad cripto está dividida: para algunos, BIP #76 es un robo disfrazado de votación; otros sostienen que las reglas no prohibían la acción del atacante, quien simplemente compró tokens y votó. Desde esa perspectiva, no se trata de un delito sino de una prueba extrema del principio "el código es la ley", quedando la responsabilidad en el diseño de la gobernanza que permitió comprar una mayoría temporal a bajo costo.

Preguntas frecuentes

¿Qué es un ataque de gobernanza?

Es cuando alguien adquiere poder de voto suficiente en un DAO para aprobar propuestas que le benefician a expensas del protocolo, utilizando las reglas internas y no una vulnerabilidad técnica. En BonkDAO, el atacante compró BONK en el mercado, alcanzó el quórum en una votación con baja participación y aprobó una transferencia de fondos a su propia cartera.

¿Por qué el atacante solo necesitó el 1% de BONK?

Porque la participación fue de solo 2,9%; así, bastó superar a esa pequeña fracción activa. Con poco más del 1% del suministro (adquirido por unos 4,4 millones de dólares), controló el 99,9% de los votos emitidos y superó el quórum de 879,95 mil millones de BONK por un margen mínimo.

¿Fue técnicamente un hackeo?

No corresponde a la definición clásica de brecha de seguridad. No hubo error de código ni robo de claves. Los contratos inteligentes ejecutaron tal como estaban programados, por lo que es difícil prevenir ataques de gobernanza y algunos lo ven más como explotación de reglas que como robo.

¿Pueden otros DAOs sufrir ataques similares?

Sí, este incidente muestra el riesgo para cualquier DAO con voto ponderado por tokens, baja participación y quórum fácilmente alcanzable. Medidas como propuestas con timelock, delegación de voto, quórum basado en la cantidad activa de tokens y revisión manual de transferencias pueden dificultar este tipo de ataques.

Conclusión

El caso de BonkDAO es una advertencia sobre el diseño económico más que sobre la seguridad del código. Un atacante convirtió 4,4 millones en 20 millones porque el quórum fijo y la baja participación permitieron adquirir una mayoría de votos por un costo bajo. Ahora, lo importante será si BonkDAO logra congelar las carteras identificadas antes de que los fondos sean liquidados, si otros DAOs en Solana ajustan sus reglas y si el precio de BONK se estabiliza o sigue cayendo. La lección es clara: si la comunidad no vota, alguien más podría hacerlo en su lugar.

Este artículo tiene fines informativos únicamente y no constituye asesoramiento financiero o de inversión. Operar con criptomonedas conlleva riesgos significativos. Realiza siempre tu propia investigación antes de tomar decisiones de trading.

Regístrate y reclama 15000 USDT
Descargo de responsabilidad
This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our Términos de Uso and Exoneración de Riesgos

Artículos relacionados

Meta presenta Muse Image: análisis del nuevo modelo AI y su impacto en las acciones META

Meta presenta Muse Image: análisis del nuevo modelo AI y su impacto en las acciones META

Perspectivas del Mercado
2026-07-08
Por qué las acciones de Intel caen tras el retraso de 18A y el avance de AMD en centros de datos

Por qué las acciones de Intel caen tras el retraso de 18A y el avance de AMD en centros de datos

Perspectivas del Mercado
2026-07-08
Precio de XRP hoy y lo que desbloquea la licencia completa MiCA de Ripple en Europa

Precio de XRP hoy y lo que desbloquea la licencia completa MiCA de Ripple en Europa

Perspectivas del Mercado
2026-07-07
Estrategia vende 3,588 BTC para financiar dividendos preferentes

Estrategia vende 3,588 BTC para financiar dividendos preferentes

Perspectivas del Mercado
2026-07-07
Las acciones de AMD suben tras el aumento de precio objetivo por parte de Goldman Sachs a $640

Las acciones de AMD suben tras el aumento de precio objetivo por parte de Goldman Sachs a $640

Perspectivas del Mercado
2026-07-07
Acción de Tesla: Subida por Entregas Récord en Q2 y Lanzamiento de Robotaxi en Miami

Acción de Tesla: Subida por Entregas Récord en Q2 y Lanzamiento de Robotaxi en Miami

Perspectivas del Mercado
2026-07-07