Ataque a BonkDAO: un hacker vacía el tesoro del memecoin con una propuesta de gobernanza fraudulenta
El ecosistema de las criptomonedas volvió a ser escenario de un ataque sofisticado. Esta vez, el objetivo fue BonkDAO, la organización descentralizada que administra los fondos del popular memecoin BONK, construido sobre la red de Solana. Un actor malicioso logró vaciar aproximadamente 20 millones de dólares del tesoro comunitario aprovechando una vulnerabilidad estructural en el propio mecanismo de toma de decisiones del proyecto.
Cómo funciona un ataque de gobernanza
Para entender lo que ocurrió, hay que comprender cómo operan las organizaciones autónomas descentralizadas, conocidas como DAO por sus siglas en inglés. En este modelo, quienes poseen tokens del proyecto tienen derecho a votar sobre propuestas que afectan el destino de los fondos comunitarios. En teoría, cuantos más tokens tenga alguien, mayor es su poder de voto, pero también mayor es su incentivo para actuar honestamente, ya que cualquier daño al proyecto perjudica el valor de sus propias tenencias.
Sin embargo, este sistema puede ser manipulado. El atacante invirtió cerca de 4 millones de dólares en la compra masiva de tokens BONK para acumular suficiente poder de voto y lograr que una propuesta diseñada por él mismo resultara aprobada. Esa propuesta, presentada como legítima ante la comunidad, autorizaba la transferencia del contenido del tesoro hacia una billetera digital bajo su control. Una vez ejecutada, el atacante procedió a vender los fondos obtenidos.
El robo y la respuesta del equipo
Tras detectar el vaciamiento del tesoro, los desarrolladores detrás del proyecto emitieron un comunicado en el que confirmaron el incidente y lo calificaron como un ataque deliberado. El equipo señaló que ya había puesto el caso en conocimiento de las autoridades competentes y que trabajaba activamente para rastrear los fondos y determinar la identidad del responsable.
Las investigaciones preliminares permitieron seguir la pista del dinero hasta varias casas de intercambio de criptomonedas. Entre ellas, el exchange surcoreano Upbit tomó medidas preventivas de forma inmediata al suspender todos los depósitos y retiros relacionados con el token BONK, una práctica habitual en estos casos para dificultar que el atacante convierta los activos robados en moneda tradicional y desaparezca con ellos.
BONK, el memecoin que conquistó Solana
BONK no es un proyecto menor dentro del universo cripto. Lanzado a finales de 2022 como un guiño comunitario a la cultura de los memecoins protagonizados por perros —la misma que popularizaron Dogecoin y Shiba Inu—, el token se convirtió rápidamente en uno de los activos más negociados dentro de la red Solana. Su ascenso estuvo impulsado en parte por el auge general de los memecoins durante 2023 y 2024, período en el que este tipo de activos captó una enorme atención tanto de inversores minoristas como de especuladores.
El hecho de que un proyecto con semejante trayectoria y visibilidad haya sido víctima de este tipo de ataque pone sobre la mesa una pregunta incómoda para toda la industria: ¿qué tan seguras son realmente las DAO?
Una vulnerabilidad conocida, pero subestimada
Los ataques de gobernanza no son nuevos. En 2023, el protocolo DeFi Tornado Cash y otros proyectos enfrentaron intentos similares de manipulación mediante la acumulación temporal de tokens para influir en votaciones. No obstante, la mayoría de los proyectos de alta capitalización han incorporado mecanismos de protección como períodos de bloqueo de tokens, timelocks —retrasos entre la aprobación y la ejecución de una propuesta— o umbrales mínimos de participación.
La pregunta que queda en el aire es por qué BonkDAO no contaba con salvaguardas suficientes para detectar o frenar una propuesta que movía la totalidad de su tesoro hacia una dirección externa. La facilidad con la que el ataque se ejecutó sugiere que las medidas de seguridad eran insuficientes para un fondo de esa magnitud.
El costo más allá del dinero
Más allá de las pérdidas económicas inmediatas, incidentes como este golpean la confianza de la comunidad en los modelos de gobernanza descentralizada, que son uno de los pilares filosóficos del movimiento cripto. Cada ataque exitoso de este tipo alimenta el escepticismo sobre si las DAO pueden realmente gestionar recursos a gran escala sin los controles tradicionales que existen en las organizaciones convencionales.
Por ahora, la comunidad de BONK aguarda novedades sobre la recuperación de fondos, un escenario que en la historia reciente del sector ha resultado más la excepción que la regla.
