image

Un atacante explotó el sistema de votación en cadena de la organización autónoma descentralizada para desviar fondos tras adquirir tokens por un valor de 4,4 millones de dólares.

La organización autónoma descentralizada BONK DAO (Decentralized Autonomous Organization), basada en la red de Solana, sufrió la pérdida de aproximadamente 20 millones de dólares en tokens debido a una propuesta de gobernanza maliciosa. 

El esquema comenzó el pasado 30 de junio de 2026 cuando una billetera anónima presentó la propuesta técnica “BIP #76 – Sowellian BonkDAO”, cuyo objetivo oculto consistía en transferir 4,43 billones de tokens de la tesorería colectiva hacia una dirección bajo su control.

Para forzar la aprobación del texto, otra dirección vinculada al atacante acumuló masivamente tokens BONK a través de los exchanges Bybit y Binance, además de recurrir a plataformas de préstamos del ecosistema DeFi (Finanzas Descentralizadas). 

De esta forma, el perpetrador invirtió cerca de 4,4 millones de dólares para controlar el quorum mínimo requerido del 1% del suministro total de la memecoin, logrando inclinar la balanza a su favor de forma artificial.

Una votación controlada por un único participante

La votación concluyó con un resultado favorable del 99,9%, superando la barrera del quórum por un margen estrecho: 882.380 millones de votos afirmativos frente al umbral exigido de 879.950 millones.

A pesar de contar con una comunidad de más de 18.000 miembros, solo siete billeteras participaron activamente en el proceso, reflejando una participación total de apenas un 2,9%. El contenido de la moción prometía reconstruir el proyecto desde las cenizas y distribuir incentivos entre quienes votaran a favor, ocultando la transferencia multimillonaria que se ejecutaría de forma automática de acuerdo con las reglas del software en cadena (onchain).

El desvío automatizado de fondos se completó el 6 de julio de 2026 una vez que el atacante ejerció la totalidad de su poder de voto. Nueve horas después de la transferencia inicial, unos 188.000 dólares fueron enviados hacia una casa de cambio con el aparente propósito de ser liquidados en dinero fíat, mientras que los restantes 19 millones de dólares se trasladaron a una billetera de firmas múltiples (multisig) supervisada por firmas de análisis como Chainalysis.

Debates sobre las reglas del juego y medidas de mitigación

Inmediatamente después de consolidar el retiro de la tesorería, el atacante procedió a vender en el mercado abierto el inventario de BONK por valor de 5,3 millones de dólares que había comprado para consumar la votación. 

Este movimiento provocó una caída del 7% en la cotización de la memecoin durante las siguientes 24 horas. El equipo de BONK DAO confirmó oficialmente el incidente y declaró que se encuentra rastreando las cuentas de los exchanges utilizadas en la acumulación de tokens, cooperando activamente con plataformas aliadas, puentes (bridges) y la Fundación Solana para contener el impacto financiero.

El suceso ha reabierto una vieja discusión en el entorno cripto sobre si estas acciones constituyen un robo o una aplicación estricta de las reglas preestablecidas por los contratos inteligentes. Debido a que cada interacción técnica cumplió con los parámetros legítimos del protocolo, analistas del sector técnico argumentan que se trató de la explotación de un diseño de gobernanza débil, donde la seguridad de una tesorería depende exclusivamente del costo financiero que represente comprar la mayoría temporal de los votos.

Por Andres Peña

Periodista y comunicador social, con 5 años de experiencia en Web3. Actualmente es Community Manager de ChatterPay, y cofundador de HealthProof y Nodo Zero. Anteriormente fue embajador, redactor y editor de BeInCrypto en Español.