El 7 de julio de 2026, BonkDAO — la DAO que gobierna el ecosistema del memecoin BONK en Solana — confirmó un ataque de gobernanza que drenó aproximadamente 20 millones de dólares en BONK de su tesorería. El atacante nunca tocó una línea de código de contrato inteligente; simplemente compró suficiente poder de voto para aprobar una propuesta maliciosa que le transfirió los fondos a sí mismo.
Qué ocurrió
El exploit subvirtió la votación on-chain de BonkDAO en la plataforma de gobernanza Realms. Durante varios días, el atacante acumuló BONK en silencio a través de billeteras de exchange — se estima que unos 4 millones de dólares en compras en el mercado abierto — reuniendo suficiente peso de voto para forzar una propuesta sin alertar a la comunidad.
La propuesta maliciosa, que autorizaba la transferencia de aproximadamente 4,426 billones de BONK desde la tesorería de la DAO, estuvo activa durante unos seis días. La participación fue casi inexistente: solo siete direcciones de billetera acabaron votando, y las billeteras vinculadas al atacante controlaban en torno al 99,878 % de ese voto. Con el quórum efectivamente capturado, la propuesta se aprobó sin obstáculos y los tokens de la tesorería fueron enviados a una billetera controlada por el atacante.
Consecuencias
- El precio de mercado de BONK cayó aproximadamente un 8-9 % a medida que se difundía la noticia del drenaje.
- BonkDAO afirmó que se está coordinando con la Solana Foundation y con exchanges centralizados para rastrear y congelar los activos robados, y que ha notificado a las fuerzas del orden.
- No se había recuperado ningún fondo al momento de redactar esto; el estado sigue siendo robado.
Por qué importa
El incidente de BonkDAO es una captura de gobernanza de manual — la misma clase de ataque que Beanstalk, donde un atacante usó poder de voto prestado para aprobar una propuesta interesada, y que la toma de los contratos de gobernanza de Tornado Cash mediante una propuesta maliciosa. A diferencia de un ataque de gobernanza con flash loan, sin embargo, la toma de BonkDAO no requirió ningún exploit: el atacante pagó dinero real por votos reales en el mercado abierto, sin aprovechar nada más que la apatía en la participación y un quórum bajo.
Eso lo convierte en una advertencia estructural más que en un informe de errores. Cuando solo siete billeteras votan sobre una propuesta que puede mover una tesorería, el modelo de seguridad no es el código — es la participación de los votantes, y aquí falló por completo. Las lecciones reflejan las de Mango Markets: las tesorerías gobernadas por tokens de gobernanza escasos, líquidos y comprables en el mercado están a una acumulación barata de ser votadas fuera de la existencia. Las defensas significativas — timelocks en las transferencias de tesorería, umbrales mínimos de quórum y ventanas de ejecución diferidas que den tiempo a reaccionar a la comunidad — son la diferencia entre que una propuesta sospechosa se detecte y que una tesorería se vacíe.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/markets/2026/07/07/bonk-faces-usd20-million-treasury-drain-after-attacker-spends-usd4-million-to-pass-malicious-proposal
- [02]therecord.mediahttps://therecord.media/attackers-vote-themselves-20-million-bonk-crypto
- [03]news.bitcoin.comhttps://news.bitcoin.com/bonkdao-treasury-loses-20m-in-malicious-governance-attack-bonk-slides-8/
- [04]cryptobriefing.comhttps://cryptobriefing.com/bonkdao-hacked-20m-malicious-proposal/