Robo a Bonk (BonkDAO) de U$S 20 millones mediante voto comprado
No hizo falta romper ningún contrato inteligente ni vulnerar una sola línea de código. El atacante que vació la tesorería de BonkDAO este 6 de julio utilizó la herramienta más legítima que existe en el mundo cripto: el voto. Con una propuesta de gobernanza aprobada «democráticamente», se llevó 4.426 billones de tokens BONK, equivalentes a unos 20 millones de dólares, en una sola transferencia on-chain perfectamente válida. El anuncio oficial llegó a través de la cuenta de BONK en X, donde el equipo confirmó que fue víctima de una «propuesta de gobernanza maliciosa» y que las fuerzas de seguridad ya fueron notificadas.
El golpe, ejecutado alrededor de las 4:00 AM (hora del este de EE.UU.) del lunes, dejó al descubierto la vulnerabilidad estructural de las DAOs: una tesorería que puede ser drenada por quien compre una mayoría temporal de votos vale, en la práctica, lo que cuesta comprar esa mayoría. Y acá el costo fue de apenas U$S 4.4 millones para llevarse un botín cinco veces mayor.
Seis días a la vista de todos
Lo más inquietante del caso es que no fue un rayo en cielo despejado. Según el análisis de Chainalysis, la secuencia comenzó el 30 de junio, cuando una wallet anónima presentó la propuesta «BIP #76 – Sowellian BonkDAO» en la plataforma de gobernanza del proyecto. El texto prometía «implementar la gobernanza Sowelliana, instalar nuevos miembros y consejo, reconstruir desde las cenizas, monetizar las tenencias y frenar el sangrado». Como anzuelo adicional, indicaba que todos los votantes por el «sí» serían elegibles para recibir tokens BONK.
Debajo de esa retórica grandilocuente se escondía la única instrucción que importaba: la transferencia de 4.43 billones de BONK —cerca del 5% del suministro total de 88 billones— a la wallet del atacante.
La propuesta estuvo viva durante seis días sin que nadie la impugnara. Entre el 4 y el 5 de julio, según los datos on-chain difundidos por Lookonchain, otra wallet acumuló exactamente lo necesario para alcanzar el quórum: gastó unos U$S 4.4 millones comprando BONK en Bybit y Binance, y habría complementado su posición con préstamos en plataformas DeFi.
Números de una «democracia» de un solo votante
El 6 de julio, la votación se cerró con estadísticas que hablan por sí solas. Votaron apenas 7 wallets de una comunidad de más de 18.000 miembros: una participación del 2.9%. El quórum exigía votos afirmativos equivalentes al 1% del suministro (879.95 mil millones de BONK), y la propuesta lo superó por un margen mínimo: 882.38 mil millones a favor, casi exactamente la posición que el atacante había ensamblado en los días previos. El 99.9% de «sí» fue, en los hechos, un solo votante dándose la razón a sí mismo.
Aprobada la propuesta, la ejecución fue automática. Los tokens salieron de la tesorería hacia una dirección terminada en «JHvQ», identificada por Solscan como fondeada a través de una cuenta de Bybit. Horas después, cerca de las 3:30 PM ET, los fondos se movieron nuevamente hacia una segunda dirección de Solana terminada en «eh42». Los tokens prometidos a los votantes del «sí» jamás se distribuyeron.
| Elemento | Valor estimado / Detalle |
|---|---|
| Fecha del drenaje | 6 de julio de 2026, ~4:00 AM ET |
| Vehículo del ataque | Propuesta de gobernanza «BIP #76 – Sowellian BonkDAO» (presentada el 30 de junio) |
| Inversión del atacante | ~U$S 4.4 millones en BONK (comprados en Bybit y Binance, 4-5 de julio) |
| Tokens drenados | 4.426 billones de BONK (~5% del suministro total) |
| Valor del botín | ~U$S 20 millones (U$S 19.3 millones al momento de la transferencia) |
| Participación en la votación | 7 wallets sobre 18.000+ miembros (2.9% de turnout, 99.9% de votos «sí») |
| Reacción del precio | Desplome inicial de hasta 18%, estabilizándose en -7/-8% en 24 horas |
| Respuesta de exchanges | Upbit y Kraken suspendieron depósitos y retiros de BONK |
El mercado reaccionó rápido, y los exchanges también
BONK, que apenas dos días antes figuraba entre las memecoins en tendencia con un rally del 14% en un día, se desplomó hasta un 18% en la reacción inmediata a la noticia, para luego estabilizarse con una caída del 7-8% en 24 horas, en torno a los 0.0000043 dólares. El token ya arrastraba un año negativo, más de 40% abajo en términos interanuales y a un 93% de su máximo histórico de diciembre de 2024, cuando supo estar entre las 100 criptomonedas por capitalización.
La respuesta institucional fue veloz aunque, quizás, tardía: Upbit y Kraken pausaron los depósitos y retiros de BONK —la surcoreana citó «medidas de protección al usuario tras las circunstancias de un incidente de seguridad»— para dificultar que el atacante liquide el botín. El problema es que los tokens ya se habían movido una vez antes de que los congelamientos entraran en vigencia.
BonkDAO, por su parte, informó que identificó las wallets de exchange utilizadas para comprar BONK antes de la votación, que notificó a las fuerzas de seguridad y que trabaja con exchanges centralizados, puentes entre redes y la Fundación Solana para rastrear los fondos e intentar recuperarlos.
¿Robo o uso legítimo de reglas defectuosas?
Yu Xian, cofundador de la firma de seguridad blockchain SlowMist, señaló en X que el incidente no fue técnicamente un hackeo: el atacante simplemente gastó dinero para acumular poder de voto e hizo aprobar una propuesta que estuvo publicada durante seis días sin que nadie la desafiara. Cada paso fue una transacción válida ejecutada según las reglas del propio protocolo. Bajo la lógica del «code is law», habría explotado un diseño de gobernanza débil, no cometido un delito.
La vereda de enfrente sostiene que hubo engaño material. La propuesta prometía un modelo de gobernanza y recompensas para los votantes que el código ejecutado jamás contempló. Esa promesa falsa, argumentan, configura los elementos de un fraude, más allá de la validez formal de las transacciones. La participación de las fuerzas de seguridad indica que BonkDAO y las firmas de análisis lo tratan, sin ambigüedades, como un ataque.
Precedentes desde 2022
Los ataques de gobernanza no son una novedad. El antecedente más resonante es el de Beanstalk Farms, en abril de 2022, cuando un atacante utilizó un flash loan para obtener momentáneamente la supermayoría de votos del protocolo y aprobar una propuesta que le transfirió unos U$S 182 millones, devolviendo el préstamo en la misma transacción. Ese mismo año, Build Finance DAO sufrió una toma hostil completa: el atacante ganó control del token de gobernanza, se adueñó de la capacidad de emisión y vació la tesorería. Y en mayo de 2023, la DAO de Tornado Cash fue capturada mediante una propuesta con código oculto que otorgó al atacante votos falsos suficientes para controlar el protocolo.
El caso de Mango Markets (2022, U$S 110 millones) aportó la dimensión judicial del debate: su autor argumentó que solo había ejecutado una «estrategia de trading legal» dentro de las reglas del protocolo, y el derrotero de su causa penal en EE.UU. dejó en evidencia lo difícil que resulta encuadrar jurídicamente estas maniobras.
El ecosistema BONK, además, tiene su propio precedente fresco: en marzo de este año, el dominio de Bonk.fun —el launchpad de memecoins respaldado por Raydium y BONK— fue secuestrado por hackers que comprometieron una cuenta del equipo e instalaron un drainer disfrazado de aviso de términos de servicio, según informó su operador @SolportTom. Aquel golpe fue menor —unos 50 SOL por cada una de las 35 wallets afectadas—, pero marcó la primera señal de que el universo BONK estaba en la mira. La diferencia es que aquello fue un ataque al front-end; esto fue un ataque a la constitución misma de la DAO.
Por Sistemas, el 07/07/2026.