Introducción
Nadie hackeó nada. Ningún contrato inteligente falló, ninguna clave privada se filtró, y ningún enlace de phishing se activó. El 6 de julio, el tesoro de BonkDAO, la organización comunitaria detrás de uno de los memecoins más destacados de Solana, transfirió aproximadamente $20 millones en BONK a una billetera controlada por un atacante. Cada paso de la transferencia fue una transacción válida, ejecutada exactamente como lo prescribían las propias reglas del DAO.
El Ataque
El atacante no rompió el sistema de gobernanza; lo compró por aproximadamente $4.4 millones, obteniendo un retorno implícito de casi cinco a uno, en una votación en la que participaron siete billeteras, mientras que más de 18,000 miembros no votaron. Este episodio es la prueba más clara hasta la fecha de una verdad incómoda que la industria ha estado ignorando educadamente durante años: un tesoro gobernado por votación ponderada por tokens vale exactamente el costo de reunir una mayoría temporal.
«La mecánica merece un análisis cuidadoso, ya que los detalles son lo que convierte una historia de crimen en una lección de diseño.»
Detalles del Ataque
El ataque no fue rápido ni oculto. El 30 de junio, una billetera anónima presentó una propuesta al sistema de gobernanza de BonkDAO, que funciona en Realms, la herramienta estándar de DAO de Solana. La propuesta, titulada BIP #76, se presentaba como un plan de renovación de gobernanza y disfrazaba el robo con un lenguaje de gestión de reestructuración.
La propuesta permaneció activa durante seis días. Durante ese tiempo, el atacante acumuló metódicamente poder de voto, gastando aproximadamente $4.4 millones en la compra de BONK a través de billeteras de intercambio, una cantidad equivalente a poco más del 1% del suministro total.
Consecuencias del Ataque
El 6 de julio, el atacante emitió la participación acumulada. El conteo final mostró 882.38 mil millones de BONK a favor contra un umbral de quórum de 879.95 mil millones, un margen tan estrecho que equivale a que el atacante comprara el número exacto de votos requeridos y casi nada más. La participación fue del 2.9%.
Las consecuencias, como intercambios congelando depósitos, fuerzas del orden notificadas y una lucha filosófica sobre si esto fue un robo en absoluto, darán forma a cómo cada DAO que posee tesorería reescribirá sus reglas en el próximo año.
Fallas en la Gobernanza
Tres salvaguardias faltantes convirtieron una mala propuesta en una ejecutada, y cada una es un control estándar que el DAO simplemente no tenía. La primera es un bloqueo temporal: una demora obligatoria entre la aprobación de una propuesta y la ejecución de sus instrucciones. La segunda es un veto multisig o del consejo: un freno de emergencia que permite a los firmantes designados congelar ejecuciones anómalas. La tercera es el diseño de quórum y participación.
Reflexiones Finales
El episodio también se desarrolla en medio de una lucha legislativa en curso, y los legisladores hostiles a DeFi no podrían haber comisionado una mejor exhibición. Un tesoro de $20 millones desapareciendo a través de un voto válido, seguido de un llamado a las mismas fuerzas del orden que el sistema fue diseñado para evitar, entrega a los escépticos su argumento en una sola anécdota.
Para BONK en sí, el camino desde aquí pasa por tres preguntas: si la coordinación de intercambio y las fuerzas del orden recuperan una parte significativa de los 4.4 billones de tokens, si el DAO puede aprobar sus propias reformas de emergencia a través del mismo mecanismo que acaba de fallar, y si la comunidad que hizo de BONK uno de los tokens definitorios de la era de los memecoins trata el episodio como un toque de muerte o un trauma fundacional.