Ataque de gobernanza en BonkDAO: 4.43B tokens drenados del tesoro en Solana

El atacante gastó 4,4 millones de dólares en comprar poder de voto durante el festivo del 4 de julio y solo siete wallets participaron en la decisión. La baja participación permitió que la votación se aprobara con poco margen.

BonkDAO, la organización autónoma descentralizada que gestiona el ecosistema de la mayor memecoin de Solana, BONK, ha sufrido el drenaje de 4,43 billones de BONK (equivalentes a unos 4,4 millones de dólares al cambio del momento). El ataque no ha explotado una vulnerabilidad del código smart contract, sino las propias reglas de gobernanza del DAO: el atacante compró el quorum suficiente para aprobar una transferencia del tesoro durante un fin de semana festivo, con la participación de solo siete carteras.

Cómo se produjo el ataque: quorum, siete votos y una compra en festivo

El pasado 30 de junio, una cartera anónima presentó una propuesta para transferir 4,426 billones de BONK del tesoro de BonkDAO a su propia wallet. Entre el 4 y el 5 de julio, aprovechando la festividad del Independence Day en Estados Unidos y la consecuente baja actividad, el atacante acumuló alrededor de 882.285 millones de BONK en exchanges centralizados como Binance y Bybit, desembolsando aproximadamente 4,4 millones de dólares.

Publicidad

Con ese volumen, que representa menos del 1% del suministro total de BONK, consiguió superar el umbral de quórum. Según los datos, solo siete wallets emitieron su voto, y la propuesta se aprobó con un margen de apenas 2.430 millones de tokens por encima del mínimo exigido, con un 99,9% de votos a favor.

Una vez alcanzado el cuórum, la ejecución de la transferencia fue automática —no existía ningún mecanismo de retraso o veto en el smart contract— y los 4,43 billones llegaron a la dirección controlada por el atacante. Horas más tarde, cerca de 188.000 dólares en BONK entraron en un exchange, mientras el resto permanece en una multisig.

Por qué las DAOs de memecoins como BONK están en el punto de mira

Las DAOs de tokens meme suelen tener una base de holders enorme pero pasiva. Miles de personas acumulan el token por motivos especulativos o pertenencia a la comunidad, pero muy pocas participan activamente en las votaciones de gobernanza. El resultado es un equilibrio perverso: una capitalización de mercado alta, pero una base de votantes minúscula.

En el caso de BONK, el atacante no necesitó comprar la mayoría absoluta, solo la cantidad suficiente para alcanzar el umbral de quórum, que en ese momento era un valor fijo y relativamente bajo. Con alrededor de un 1% del suministro total, y en un momento de nula atención por parte de la comunidad, la operación le salió redonda.

Un DAO que no vota es como una caja fuerte con la llave puesta: solo necesita que alguien llegue en fin de semana.

Análisis: cuando las reglas son la trampa

El ataque a BonkDAO plantea preguntas incómodas sobre qué significa realmente la gobernanza descentralizada cuando la participación es tan baja. Si el quorum se puede comprar con cuatro millones de dólares y la comunidad está de vacaciones, el sistema funciona como un cajero automático para el primero que llegue. No hay un bug en el código de Solana ni en el smart contract de BONK: todo ocurrió conforme a las reglas escritas por los propios holders.

Este es el primer drenaje significativo de un tesoro DAO en Solana en mucho tiempo, y aunque no afecta a la estabilidad de la red ni a sus parámetros técnicos (Turbine, Gulf Stream o Proof of History nada tienen que ver aquí), sí golpea la reputación del ecosistema de memecoins. BONK es uno de los tokens más populares de Solana, y que su DAO haya sido capturado por un actor oportunista puede sembrar dudas entre inversores minoristas que habían comprado el token sin leer la letra pequeña de la gobernanza.

A mi entender, la lección no es que la descentralización falle, sino que una DAO necesita salvaguardas básicas para cuando la comunidad no está prestando atención: tiempos de espera antes de ejecutar movimientos grandes, límites de gasto por propuesta, o un consejo de guardianes que pueda vetar transacciones sospechosas. Mientras la mayoría de los tokens de gobernanza sigan en manos de holders que nunca votan, este tipo de incidentes se repetirá.

El precedente de BonkDAO debería acelerar la adopción de mejores prácticas. Si la comunidad reacciona rápido y endurece los umbrales, el daño puede quedarse en un susto. Si no, el mensaje para otros atacantes es claro: los tesoros de memecoin están en oferta los fines de semana largos.


Publicidad