Atacante toma control de DAO en Aragon y drena USD $1,58 millones mediante votación relámpago

Un atacante aprovechó una vulnerabilidad de gobernanza en la DAO de Token of Power (TOP) para aprobar unilateralmente una propuesta, acuñar nuevos tokens y extraer cerca de USD $1,58 millones en WETH desde un pool de liquidez en Ethereum. El incidente vuelve a poner bajo la lupa los riesgos asociados a sistemas de gobernanza sin mecanismos de protección adecuados.

***

• El atacante controlaba poco más del 50% del suministro total de TOP.
• La DAO permitía crear, votar y ejecutar propuestas en una sola transacción.
• El exploit terminó con el drenaje de 944 WETH desde un pool de Balancer.

🚨 Alerta en DeFi: atacante drena USD $1,58 millones de la DAO Token of Power 🚨

Un solo actor controló más del 50% del suministro de tokens y ejecutó una votación relámpago.

Aprovechó la falta de mecanismos de protección en la gobernanza para acuñar nuevos tokens.

El ataque… pic.twitter.com/ua5ODQnwv4

— Diario฿itcoin (@DiarioBitcoin) June 9, 2026

Un nuevo incidente de seguridad sacudió al ecosistema DeFi luego de que un atacante lograra tomar control efectivo de la gobernanza de Token of Power (TOP), una organización autónoma descentralizada basada en la infraestructura de Aragon.

Según análisis publicados por diversas firmas de seguridad blockchain, el responsable del ataque utilizó su poder de voto para aprobar una propuesta maliciosa que le permitió crear una gran cantidad de nuevos tokens TOP y posteriormente intercambiarlos por activos reales dentro de un pool de liquidez. El resultado fue la extracción de aproximadamente 944 WETH, valorados en unos USD $1,58 millones al momento del incidente.

A diferencia de muchos exploits recientes, el ataque no se produjo por una vulnerabilidad tradicional en contratos inteligentes. En cambio, el problema se originó en la configuración de gobernanza del protocolo, que permitió a un único actor ejercer control absoluto una vez superado el umbral de mayoría.

Cómo el atacante tomó el control de la DAO

Token of Power utiliza un sistema de gobernanza construido sobre la infraestructura de Aragon y basado en MiniMeToken, un modelo diseñado para que los poseedores del token puedan votar propuestas que afectan el funcionamiento del protocolo.

De acuerdo con el análisis de Blockaid, el atacante acumuló 8.192,000001 tokens TOP. La cifra parece arbitraria, pero representaba algo crucial: más de la mitad del suministro total existente, que ascendía a apenas 16.384 tokens.

Al superar el umbral del 50%, el atacante obtuvo capacidad suficiente para aprobar propuestas sin necesidad del apoyo de ningún otro participante de la comunidad.

Normalmente, este tipo de situaciones puede mitigarse mediante períodos de espera o mecanismos de retraso que permitan a otros miembros reaccionar ante decisiones potencialmente peligrosas. Sin embargo, la configuración específica utilizada por la DAO de TOP carecía de esas protecciones.

Una votación ejecutada en segundos

El elemento más crítico del incidente fue la ausencia de un timelock o período obligatorio de espera.

Según explicó BlockSec Phalcon, el sistema permitía que una propuesta fuera creada, votada y ejecutada prácticamente de inmediato, incluso dentro de una misma transacción blockchain.

Una vez que el atacante obtuvo la mayoría necesaria, presentó una propuesta diseñada para acuñar una enorme cantidad de nuevos tokens TOP directamente a una dirección bajo su control. Acto seguido, utilizó esos activos recién creados para interactuar con el pool de liquidez TOP/WETH alojado en Balancer V1.

El mecanismo funcionó de manera similar a una inflación artificial. Al introducir grandes cantidades de tokens TOP generados mediante la propuesta maliciosa, el atacante pudo intercambiarlos por WETH legítimos presentes en la reserva de liquidez.

La operación concluyó con la extracción de aproximadamente 944,2 WETH.

Balancer no fue el origen del problema

Los investigadores enfatizaron que Balancer no presentaba ninguna vulnerabilidad propia.

El protocolo simplemente actuó como el lugar donde el atacante convirtió los tokens inflados en activos de valor real. El verdadero problema residía en la capacidad de modificar el suministro de TOP mediante un proceso de gobernanza insuficientemente protegido.

Este detalle es importante porque demuestra una vez más que los riesgos dentro de DeFi no se limitan a errores de programación. Las decisiones relacionadas con gobernanza, permisos administrativos y parámetros económicos pueden convertirse en vectores de ataque tan peligrosos como una falla técnica tradicional.

Fondos vinculados a Tornado Cash

Las investigaciones onchain indican que la dirección utilizada para ejecutar el exploit recibió financiamiento previo a través de Tornado Cash, el mezclador de criptomonedas diseñado para dificultar el rastreo de fondos. Según Blockaid, el ataque fue ejecutado mediante un contrato específicamente creado para esta operación y concentrado en una única transacción.

Aunque los fondos robados continúan siendo visibles y rastreables en la cadena de bloques, el uso previo de herramientas de anonimización complica considerablemente cualquier intento de identificación o recuperación.

Un caso de manual sobre captura de gobernanza

Expertos en seguridad consideran que el incidente representa uno de los ejemplos más claros de lo que se conoce como un “governance takeover”, o captura de gobernanza.

En este tipo de ataques, el agresor no explota directamente una vulnerabilidad técnica, sino que utiliza las propias reglas del protocolo para obtener control legítimo sobre funciones críticas.

El problema suele aparecer cuando el suministro de tokens es reducido, la liquidez es limitada o el costo para adquirir una mayoría resulta relativamente bajo. Si además no existen mecanismos de retraso, quórums elevados o procesos escalonados de aprobación, un atacante puede transformar rápidamente su poder de voto en acceso directo a fondos del protocolo.

La propia documentación de Aragon destaca la importancia de restringir cuidadosamente funciones sensibles relacionadas con acuñación de tokens y movimiento de activos. Sin embargo, en este caso la configuración utilizada por TOP aparentemente no incorporó salvaguardas suficientes para impedir una toma de control inmediata.

La gobernanza vuelve a ser el eslabón débil

Hasta el momento ni el equipo de Token of Power ni Aragon habían emitido declaraciones públicas detalladas sobre el incidente.

Más allá de las pérdidas económicas, el caso vuelve a recordar una lección recurrente en el ecosistema DeFi: la descentralización no elimina los riesgos, sino que los desplaza hacia nuevas capas de diseño.

Mientras gran parte de la atención suele centrarse en auditorías de código y vulnerabilidades técnicas, episodios como este demuestran que parámetros aparentemente administrativos —como timelocks, períodos de votación y requisitos de quórum— pueden ser igualmente determinantes para la seguridad de un protocolo.

Para muchos analistas, el ataque contra TOP constituye un recordatorio de que la gobernanza no es simplemente una herramienta de coordinación comunitaria, sino una superficie de ataque que debe diseñarse con el mismo rigor que cualquier contrato inteligente encargado de custodiar millones de dólares.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín