Por Hannah Pérez Diez años después del ataque que drenó 3,6 millones de ETH y provocó el hard fork más importante de Ethereum, The DAO regresa simbólicamente como un fondo de seguridad financiado con más de 75.000 ETH no reclamados.
***
- Hace 10 años, un atacante drenó 3,6 millones de ETH de The DAO mediante una vulnerabilidad de reentrancy.
- El ataque llevó a Ethereum a ejecutar un hard fork que dividió la red entre Ethereum y Ethereum Classic.
- The DAO había recaudado cerca de 12 millones de ETH, unos USD $150 millones en ese momento, de más de 11.000 inversionistas.
- Un fondo con más de 75.000 ETH no reclamados, hoy valorado cerca de USD $130 millones, financiará seguridad en Ethereum.
🚨 El DAO cumple 10 años: el hack que dividió Ethereum vuelve como fondo de seguridad 🚨
En 2016, un ataque drenó 3,6 millones de ETH, impulsando un hard fork.
Hoy, más de 75,000 ETH no reclamados financiarán la seguridad en Ethereum.
El nuevo fondo busca proteger el… pic.twitter.com/u1R2vFo5Wo
— Diario฿itcoin (@DiarioBitcoin) June 18, 2026
Hace 10 años, Ethereum enfrentó la primera gran crisis existencial de su historia.
El 17 de junio de 2016, un atacante explotó una vulnerabilidad en The DAO, una organización autónoma descentralizada que había sido construida sobre Ethereum para operar como un fondo de inversión colectivo gobernado por contratos inteligentes.
Lo que comenzó como el mayor experimento de crowdfunding cripto de su época terminó convirtiéndose en el episodio que dividió a la comunidad entre dos visiones incompatibles: corregir el daño mediante intervención social o respetar la cadena original bajo la premisa de que “el código es ley”.
The DAO había sido desarrollado por la firma alemana Slock.it bajo el liderazgo del desarrollador Christoph Jentzsch. El proyecto recaudó cerca de 12 millones de ETH, equivalentes a aproximadamente USD $150 millones en ese momento, de más de 11.000 inversionistas.
La propuesta era ambiciosa: los participantes compraban tokens DAO con ETH y luego votaban qué proyectos debían recibir financiamiento, usando contratos inteligentes para automatizar la gobernanza y la asignación de capital. Pero menos de tres semanas después del cierre de la venta de tokens, el contrato fue atacado.
Según recordó CoinDesk, el atacante drenó 3,6 millones de ETH, hoy valorados en alrededor de USD $6.260 millones, mediante un único exploit de reentrancy. Esa cantidad representaba cerca de un tercio de los fondos de The DAO y fue enviada a una estructura secundaria conocida como “child DAO”, que tenía un bloqueo de retiro de 28 días, como añade The Block. Esa demora fue decisiva, porque dio tiempo a la comunidad de Ethereum para debatir una respuesta.
Una vulnerabilidad conocida antes del ataque
Uno de los aspectos más recordados del episodio es que la vulnerabilidad no apareció de la nada. CoinDesk recordó que la falla había sido señalada semanas antes, pero las correcciones todavía estaban pendientes de aprobación comunitaria cuando el atacante actuó. Esa demora dejó expuesto al contrato en un momento en que The DAO concentraba una cantidad enorme de ETH para los estándares de 2016.
La falla explotada fue una vulnerabilidad de reentrancy en la función splitDAO. En términos simples, el atacante logró retirar fondos repetidamente antes de que el contrato actualizara correctamente los saldos internos. El contrato permitía una operación que debía mover fondos y luego registrar el cambio de estado, pero el atacante aprovechó el orden de ejecución para volver a llamar la función varias veces antes de que el balance quedara ajustado.
El ataque no vació todo el fondo porque un grupo informal de desarrolladores conocido como White Hat Group, que incluía al entonces gerente de comunidad de The DAO, Griff Green, intervino para rescatar fondos restantes que seguían siendo vulnerables. El grupo drenó activos hacia contratos bajo su control en una operación de emergencia ejecutada públicamente sobre una blockchain en vivo, en uno de los rescates más inusuales de la historia cripto.
“Code is law” contra intervención comunitaria
El ataque abrió un debate que todavía define a Ethereum. Un grupo defendía que lo ocurrido debía mantenerse porque el contrato había funcionado de acuerdo con su código, aunque el resultado fuera contrario a la intención de sus creadores y usuarios. Esa postura, resumida en la frase “code is law”, sostenía que intervenir para revertir el daño dañaría la credibilidad de la inmutabilidad blockchain.
El otro sector argumentaba que un bug no equivalía a comportamiento legítimo. Desde esa perspectiva, la comunidad tenía derecho a usar su juicio colectivo para proteger a los usuarios afectados, especialmente porque los fondos aún estaban bloqueados en la child DAO y no habían sido retirados definitivamente por el atacante.
Ethereum eligió la segunda opción. El 20 de julio de 2016, en el bloque 1.920.000, la red ejecutó un hard fork que modificó el estado de la cadena para neutralizar el ataque. Los ETH drenados fueron movidos a un contrato de recuperación y los tenedores originales de tokens DAO pudieron retirar su parte a una tasa de 1 ETH por cada 100 tokens DAO.
La decisión tuvo amplio apoyo, con The Block citando un respaldo aproximado de entre 85% y 89% de los votantes. Pero no fue un consenso absoluto. Quienes rechazaron la intervención continuaron usando la cadena original, donde el hack quedó registrado como parte inalterada de la historia. Esa cadena pasó a conocerse como Ethereum Classic, mientras la red intervenida se convirtió en Ethereum, ETH, tal como se conoce hoy.
El evento que creó la industria de seguridad de contratos inteligentes
El impacto del hack fue mucho más allá de la división entre ETH y ETC. The DAO se convirtió en el caso fundacional de la seguridad de contratos inteligentes. Antes del ataque, la idea de desplegar contratos con grandes cantidades de capital sin auditorías exhaustivas todavía parecía viable dentro de un ecosistema joven y experimental. Después del ataque, auditoría, verificación formal, revisión de código y prácticas de seguridad especializadas dejaron de ser lujos para convertirse en requisitos centrales.
La vulnerabilidad de reentrancy se transformó en una de las lecciones básicas para desarrolladores de Ethereum. El patrón de diseño “checks-effects-interactions”, que prioriza actualizar el estado interno antes de interactuar con contratos externos, ganó prominencia precisamente por incidentes como The DAO. El ataque también aceleró la aparición de firmas especializadas en auditoría, herramientas de análisis estático, programas de bug bounty y procesos de revisión más estrictos.
El episodio también marcó un antes y un después en el plano regulatorio. En 2017, la Comisión de Bolsa y Valores de Estados Unidos publicó el llamado DAO Report, en el que concluyó que los tokens DAO calificaban como valores bajo la legislación existente. Ese análisis, basado en las circunstancias específicas del caso, se convirtió en una referencia clave para posteriores acciones regulatorias contra proyectos cripto.
The DAO renace como fondo de seguridad
Una década después, The DAO vuelve a aparecer, pero con una función totalmente distinta. Ya no se trata de un fondo de inversión descentralizado, sino de una dotación para financiar seguridad dentro del ecosistema Ethereum. Según The Block, el nuevo DAO Fund surge de un compromiso hecho poco después del hack: cualquier ETH rescatado y no reclamado para enero de 2017 sería eventualmente destinado a trabajos de seguridad en Ethereum.
La promesa quedó dormida durante años hasta que un investigador de Wintermute redescubrió una antigua publicación de blog y la llevó nuevamente a la atención de Griff Green, quien anunció el lanzamiento del fondo en enero. El fondo reúne más de 75.000 ETH procedentes de la recuperación original, incluyendo unos 70.500 ETH en un contrato ExtraBalance no reclamado y otros 4.600 ETH en la multisig de curadores de The DAO.
Estos fondos están siendo colocados en staking como una dotación de largo plazo, con el rendimiento destinado a financiar investigación de seguridad, herramientas e iniciativas de respuesta ante incidentes. Cuando Green anunció la iniciativa en enero, esos 75.000 ETH valían más de USD $220 millones. Con ETH cerca de USD $1.750, su valor actual ronda los USD $130 millones.
Siete curadores supervisan el fondo, incluyendo al cofundador de Ethereum Vitalik Buterin y a Taylor Monahan, exlíder de seguridad de MetaMask. La iniciativa también coordina esfuerzos con Trillion Dollar Security, el programa de la Fundación Ethereum orientado a fortalecer la seguridad del ecosistema ante una escala financiera mucho mayor.
Primeras asignaciones y nuevas prioridades
El fondo ya ejecutó su primera ronda de asignaciones, la Ethereum Security QF Round, entre el 23 de abril y el 14 de mayo. Según The Block, distribuyó más de USD $1 millón en ETH entre 134 proyectos seleccionados de más de 250 postulantes. Wintermute también contribuyó con USD $200.000 al fondo de matching.
Griff Green dijo a The Block en enero que Ethereum ha estado “atascado” durante los últimos seis años en materia de seguridad para usuarios comunes. Citó ataques de phishing y drenajes de billeteras como evidencia de que, aunque el protocolo ha madurado, la experiencia de seguridad para el usuario promedio sigue rezagada.
La lectura es importante porque el tipo de riesgo ha cambiado. El hack de The DAO fue un error de contrato inteligente. Hoy, muchos de los mayores incidentes no dependen necesariamente de un bug en Solidity, sino de fallas operativas, claves comprometidas, ingeniería social, interfaces manipuladas y autorizaciones engañosas.
El riesgo ya no está solo en el código
Marcin Kazmierczak, cofundador del proveedor de oráculos RedStone, dijo a The Block que financiar seguridad mediante una dotación permanente en staking representa un avance frente al modelo de recaudar fondos después de cada hack. Sin embargo, advirtió que eso no elimina la confianza del sistema, sino que la traslada. Ahora los participantes confían en siete curadores y en un proceso de asignación para distribuir aproximadamente USD $8 millones anuales en rendimiento, en lugar de confiar en que el código sea perfecto.
Kazmierczak también cuestionó si el nuevo fondo está apuntando al riesgo correcto. En su opinión, el hack de The DAO pertenece a una categoría de amenaza que hoy está mucho más controlada gracias a la madurez de las auditorías. Las pérdidas catastróficas actuales, sostuvo, provienen cada vez más de operaciones y experiencia de usuario: claves robadas, pantallas de firma manipuladas, phishing y aprobaciones ciegas.
El ejemplo más claro es el hack de Bybit, que según Chainalysis representó USD $1.500 millones de los USD $3.400 millones perdidos por cripto en ataques durante 2025. Kazmierczak señaló que ese incidente no fue un bug de Solidity, sino una pantalla de firma alterada que convirtió aprobaciones con hardware wallets en firmas ciegas.
Ido Ben-Natan, CEO de la firma de seguridad de billeteras Blockaid, ofreció una lectura similar. Para él, la idea de “code is law” nunca fue completamente sostenible, porque cualquier sistema que liquida valor real necesita cierto espacio para juicio humano en los bordes. También advirtió que la industria aprendió a auditar código tras la reentrancy, pero ahora debe observar con el mismo rigor qué ocurre cuando los usuarios hacen clic en “aprobar”.
Una cicatriz que sigue definiendo a Ethereum
A 10 años del ataque, The DAO sigue siendo una cicatriz fundacional para Ethereum. El episodio demostró que la inmutabilidad blockchain no es solo una propiedad técnica, sino también una decisión social sostenida por usuarios, desarrolladores, validadores, exchanges y comunidades. También mostró que la gobernanza de una red descentralizada puede enfrentar decisiones donde no hay una respuesta perfecta, sino costos distintos.
Para algunos, el hard fork fue la decisión que salvó a Ethereum en su infancia y protegió a miles de participantes de una pérdida causada por un error técnico. Para otros, fue el momento en que la red demostró que la inmutabilidad podía ceder ante presión social. Esa tensión nunca desapareció por completo y todavía vive en la existencia paralela de Ethereum y Ethereum Classic.
Lo irónico es que The DAO, el experimento que casi destruye la confianza temprana en Ethereum, ahora financia seguridad para el ecosistema que ayudó a moldear. Su transformación de fondo de inversión fallido a dotación de seguridad resume una década de aprendizaje: Ethereum sobrevivió al ataque, pero lo hizo aceptando que ni el código ni la comunidad pueden operar sin controles, auditorías y mecanismos de respuesta.
Diez años después, la gran lección no es solo que un bug puede costar miles de millones. Es que la seguridad cripto evoluciona junto con sus amenazas. En 2016, el problema era una función vulnerable en un contrato. En 2026, el riesgo también está en las firmas, las interfaces, las claves y los usuarios. The DAO enseñó a Ethereum a auditar código; el nuevo desafío es proteger todo lo que ocurre alrededor de él.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
AltCoins
NEAR se desploma un 5% tras rally mensual: ¿comienza la corrección?
Blockchain
Co-CEO de la Fundación Ethereum renuncia a meses de la salida de líder anterior
Algorand
Algorand acelera su hoja de ruta postcuántica para blindar la red antes de 2028
Blockchain