Un atacante drenó unos 20 millones de dólares en tokens BONK de la tesorería de BonkDAO el lunes, comprando poco más del 1% del suministro del token y usándolo para aprobar una propuesta de gobernanza on-chain maliciosa. El robo no explotó un bug de contrato inteligente: armó las propias reglas de votación de la DAO en una votación con poca participación que pasó con un 99,9% de votos “sí”, y luego comenzó a vender los tokens robados.

Contexto: qué es BonkDAO

BONK es una memecoin basada en Solana lanzada a fines de 2022 que se convirtió en uno de los tokens más extendidos de la cadena. BonkDAO es la organización autónoma descentralizada (DAO) que administra una tesorería comunitaria de tokens BONK — fondos destinados a subvenciones del ecosistema, marketing y desarrollo.

Las DAOs están pensadas para que los holders voten cómo se gastan los activos en común. En la práctica, muchas dependen de la votación ponderada por tokens: quien tenga más tokens de gobernanza en el momento del snapshot tiene más peso. Cuando la participación es baja, una mayoría temporal se puede comprar en el mercado abierto por mucho menos de lo que vale la tesorería.

Eso es exactamente lo que pasó aquí.

Cómo funcionó el ataque

Según el reportaje de CoinDesk, el atacante gastó aproximadamente 4,4 millones de dólares para acumular poco más del 1% del suministro circulante de BONK. Esa posición bastó para alcanzar el umbral de quórum de la DAO — la participación mínima para que una votación cuente — en una elección en la que casi nadie más participó.

Con el quórum cumplido y sin votos en contra, la propuesta maliciosa pasó con un 99,9% de aprobación. El contenido de la propuesta transfirió automáticamente unos 20 millones de dólares en BONK de la tesorería comunitaria a una billetera que controlaba el atacante. Una vez recibidos los tokens, el atacante comenzó a venderlos en el mercado abierto.

BonkDAO confirmó el incidente en su cuenta oficial de X el lunes, indicando que el ataque pasó por una votación de gobernanza y no por una vulnerabilidad de código. El equipo dijo que identificó las billeteras de exchanges usadas para comprar BONK antes de la propuesta, que está trabajando con exchanges, bridges y la Solana Foundation, y que notificó a las autoridades.

The Defiant señaló que este vector — comprar poder de voto para aprobar una propuesta que vacía la tesorería — ya golpeó otros protocolos este año, incluida una toma de gobernanza en junio en pools de TOP vinculados a Balancer que drenó unos 1,58 millones de dólares.

Por qué los ataques de gobernanza son distintos a los exploits de código

Los hackeos de contratos inteligentes acaparan titulares, pero las tomas de tesorería por gobernanza siguen un guion más simple: comprar tokens de voto, proponer una transferencia, votar sí, salir. No hace falta un informe de bug — las reglas funcionaron tal como estaban escritas.

La economía es brutal. Si una tesorería de 20 millones de dólares se captura gastando 4,4 millones en tokens (más costos de transacción), el atacante obtiene un retorno de unas 4,5 veces su inversión antes de que el slippage coma la venta. Incluso después de volcar BONK en un mercado poco profundo, el margen puede superar con creces lo que devuelve la mayoría de exploits DeFi.

La baja participación empeora la cuenta. Las DAOs suelen asumir que comunidades activas bloquearán propuestas malas. En realidad, la mayoría de los holders no vota: hace farming, tradea o simplemente holdea. Una sola billetera que cruza el quórum se convierte en todo el electorado.

En Solana en particular, la velocidad de la cadena y las comisiones bajas hacen barato acumular tokens de gobernanza rápido y ejecutar la propuesta en una sola sesión. La liquidez profunda de BONK en los principales DEX y CEX de Solana también le dio al atacante una salida clara una vez que se completó la transferencia de la tesorería.

Qué implica para los holders — y para usuarios de Solana en LatAm

BONK es una memecoin, y PTYcoin no trata los pumps de meme-tokens como consejo de inversión. Pero el patrón del exploit importa mucho más allá de un token con temática canina.

Solana se ha convertido en una cadena importante para la actividad cripto en LatAm: liquidación rápida, comisiones bajas e integraciones con fintechs y apps de pago regionales la hacen un rail práctico para transferencias en stablecoins, remesas y herramientas para comercios. Cuando una DAO de Solana de alto perfil pierde 20 millones de dólares por gobernanza, es un recordatorio de que las tesorerías on-chain son tan seguras como su diseño de votación, no su reconocimiento de marca.

Las lecciones aplican tanto si holdeas BONK, participas en alguna DAO o simplemente guardas activos en Solana:

  • La votación ponderada por tokens sin salvaguardas es un riesgo. Umbrales de quórum, timelocks, guardianes multisig y consejos con veto existen precisamente porque compras de tokens en el mercado abierto pueden voltear resultados de la noche a la mañana.
  • El tamaño de la tesorería atrae atacantes. Un fondo de 20 millones con quórum del 1% es una invitación abierta. Los equipos de seguridad deberían modelar ataques de gobernanza igual que exploits de contratos — preguntando qué podría aprobar un comprador motivado con las reglas actuales.
  • La autocustodia limita tu exposición a fallos de gobernanza ajenos. Si nunca delegaste tokens a una DAO ni los stakeaste en un pool de votación, este robo no tocó tu billetera directamente. Pero si holdeas cualquier token de gobernanza — incluso en cadenas populares en Brasil, Argentina y México — revisa si tu stake está bloqueado en un contrato de votación que no leíste.

BonkDAO dice que los esfuerzos de recuperación están en marcha, pero no se han devuelto fondos públicamente al cierre de esta nota. El precio de BONK cayó unos 9% con la noticia, según el resumen de mercado de Coinpedia — un movimiento modesto frente a la pérdida de tesorería, lo que sugiere que el mercado ya había incorporado el riesgo de gobernanza en DAOs con diseño frágil.

Conclusión

Una compra de 4,4 millones de dólares compró el control de una tesorería de 20 millones porque casi nadie votó. No es un hack en el sentido tradicional: es un fallo de diseño de gobernanza ejecutado con mecánicas on-chain perfectamente válidas.

Si participas en DAOs, lee las reglas de votación antes de delegar tokens. Si no lo haces, trata las tesorerías comunitarias como problema de otros — y guarda activos que no puedas permitirte perder en billeteras que controles. Es una historia de seguridad, no un momento para “comprar la caída”. No es asesoramiento financiero.