Ayer, 17 de junio, se cumplieron 10 años del mayor cisma en la historia de Ethereum. El hack de The DAO —un ataque que drenó 3,6 millones de ethers— no solo dividió la red entre Ethereum y Ethereum Classic, sino que cambió para siempre la forma en que el sector aborda la seguridad de los contratos inteligentes. Una década después, los fondos rescatados que nunca fueron reclamados se han convertido en un fondo dotacional de 130 millones de dólares para proteger el ecosistema.
El hack que drenó 3,6 millones de ETH y el mayor debate de Ethereum
The DAO fue un fondo de inversión descentralizado construido por la firma alemana Slock.it. Funcionaba con contratos inteligentes: más de 11.000 personas compraron tokens DAO con ether, recaudando cerca de 12 millones de ETH (unos 150 millones de dólares de la época). La idea era que los tokenholders votaran qué proyectos financiar. Pero el 17 de junio de 2016, un atacante explotó una vulnerabilidad de reentrancy en la función splitDAO del contrato.
La reentrancy —en palabras llanas, llamar repetidamente a una función antes de que el contrato actualice los saldos— permitió drenar 3,6 millones de ETH hacia una child DAO. Esos fondos quedaron bloqueados durante 28 días, tiempo clave para que la comunidad reaccionara. Un grupo informal de desarrolladores conocido como el White Hat Group intervino de emergencia para rescatar los ethers que aún estaban en peligro, en una operación a vida o muerte sobre la blockchain.
Entonces estalló el debate definitorio. Una parte de la comunidad defendía que el código era ley: si el contrato se ejecutó según su lógica, no debía intervenirse. La otra argumentaba que un bug no es un comportamiento legítimo y que, estando los fondos aún bloqueados, había margen para proteger a los usuarios. La decisión se tomó el 20 de julio de 2016 en el bloque 1.920.000: una actualización de hard fork que trasladó los ETH drenados a un contrato de recuperación, desde el que los afectados pudieron retirar 1 ETH por cada 100 tokens DAO.
La medida tuvo un respaldo masivo, entre el 85% y el 89% de los votos. Pero no alcanzó el consenso absoluto. Quienes rechazaron la intervención siguieron usando la cadena original, que pasó a llamarse Ethereum Classic. La red intervenida se convirtió en el Ethereum que conocemos hoy. Fue el primer y más profundo cisma de una blockchain pública.
The DAO renace como fondo de seguridad: 75.000 ETH para el ecosistema
Una década después, The DAO reaparece con un propósito radicalmente distinto. Poco después del ataque, los desarrolladores prometieron que cualquier ETH rescatado y no reclamado se destinaría a seguridad dentro de Ethereum. Esa promesa dormida fue redescubierta por un investigador de Wintermute a principios de año y retomada por Griff Green, ex gestor de comunidad de The DAO.
El resultado es el DAO Fund, un fondo dotacional que reúne más de 75.000 ETH. La cifra incluye unos 70.500 ethers de un contrato ExtraBalance sin reclamar y otros 4.600 de la multisig original de los curadores. Estos fondos, que en enero valían más de 220 millones de dólares, rondan ahora los 130 millones de dólares por la corrección del mercado. Todo se ha colocado en staking como dotación permanente: el rendimiento anual, estimado en unos 8 millones de dólares, financia investigación, herramientas y respuesta a incidentes de seguridad.
El consejo de siete curadores incluye a Vitalik Buterin, cofundador de Ethereum, y a Taylor Monahan, exresponsable de seguridad de MetaMask. Su primera ronda de asignación (abril-mayo) distribuyó más de 1 millón de dólares en ETH entre 134 proyectos, seleccionados de más de 250 candidatos. Wintermute aportó otros 200.000 dólares al fondo de matching.
La lección de The DAO: el riesgo ya no vive solo en el código
El hack de The DAO obligó a auditar contratos inteligentes con rigor. La vulnerabilidad de reentrancy se convirtió en la primera lección para cualquier desarrollador de Ethereum. Sin embargo, el perfil de riesgo ha mutado. Marcin Kazmierczak, cofundador de RedStone, advierte que el fondo está “trasladando la confianza del código al juicio humano”, a siete curadores que deciden cómo repartir 8 millones anuales.
Y la amenaza ya no es principalmente un bug en Solidity. El hack de Bybit en 2025, que costó 1.500 millones de dólares —casi la mitad de los 3.400 millones perdidos ese año—, no fue un exploit de smart contract, sino una pantalla de firma manipulada que convirtió aprobaciones con hardware wallets en firmas ciegas. Ido Ben-Natan, CEO de la firma de seguridad Blockaid, lo resume: “el código es ley nunca fue del todo sostenible, porque cualquier sistema que liquida valor real necesita espacio para el juicio humano en los bordes”.
The DAO enseñó a la industria a auditar código. Ahora el desafío es auditar qué ocurre cuando un usuario hace clic en “aprobar”. El dinero que casi descarrila a Ethereum en su infancia financia hoy ese cambio de enfoque.
Diez años después, los ethers que casi acaban con Ethereum financian su mayor garantía de futuro.
