coin-img-ETHETH-5.44%coin-img-BTCBTC-3.02%coin-img-SOLSOL-5.85%coin-img-BPBP-17.49%coin-img-SAIMSAIM-98.16%coin-img-AGQAGQ-38.70%coin-img-LUCKLUCK+65.17%coin-img-XRPXRP-3.73%coin-img-ETHETH-5.44%coin-img-BTCBTC-3.02%coin-img-SOLSOL-5.85%coin-img-BPBP-17.49%coin-img-SAIMSAIM-98.16%coin-img-AGQAGQ-38.70%coin-img-LUCKLUCK+65.17%coin-img-XRPXRP-3.73%coin-img-ETHETH-5.44%coin-img-BTCBTC-3.02%coin-img-SOLSOL-5.85%coin-img-BPBP-17.49%coin-img-SAIMSAIM-98.16%coin-img-AGQAGQ-38.70%coin-img-LUCKLUCK+65.17%coin-img-XRPXRP-3.73%coin-img-ETHETH-5.44%coin-img-BTCBTC-3.02%coin-img-SOLSOL-5.85%coin-img-BPBP-17.49%coin-img-SAIMSAIM-98.16%coin-img-AGQAGQ-38.70%coin-img-LUCKLUCK+65.17%coin-img-XRPXRP-3.73%

Un atacante gastó 1.808 dólares y estuvo a punto de hacerse con el control de Moonwell, un protocolo DeFi con 85 millones bloqueados

Un protocolo DeFi de préstamos con cerca de 85 millones de dólares en valor total bloqueado (TVL) estuvo a punto de perder el control de su gobernanza por una maniobra de menos de 2.000 dólares. Según DL News, un atacante ejecutó en 11 minutos los pasos clave de un ataque de gobernanza contra Moonwell: compró tokens de voto, registró una propuesta y la impulsó hasta superar el umbral de quórum. El coste total fue de 1.808 dólares. De haberse ejecutado, la propuesta habría otorgado al atacante control sobre componentes críticos del protocolo, incluidos siete mercados y los contratos inteligentes principales, con capacidad potencial para drenar más de 1 millón de dólares de fondos de usuarios. Por qué 1.808 dólares podían poner en jaque 85 millones Moonwell opera como protocolo de préstamo multichain, centrado en aportar liquidez a los ecosistemas Moonbeam y Moonriver. De acuerdo con DefiLlama, su TVL ronda los 85 millones de dólares. En teoría, un proyecto de este tamaño debería contar con defensas de gobernanza suficientes para encarecer o impedir intentos de captura. En este caso, el problema fue la desalineación entre los umbrales de gobernanza y el precio del token. La firma de seguridad Blockful explica que el atacante compró primero 40 millones de MFAM, el token de gobernanza de Moonwell. Con MFAM cotizando alrededor de 0,000025 dólares, la operación costó poco más de 1.800 dólares. Con esos tokens, el atacante presentó una propuesta titulada "MIPR39: Protocol Recovery Admin Migration" y la llevó con rapidez hasta rebasar el umbral de quórum. En apariencia, se trataba de una propuesta tramitada "según las reglas". Blockful sostiene que el contenido era abiertamente malicioso: una vez ejecutada, el contrato de la propuesta ya incorporaba pasos de transacción preconfigurados orientados a vaciar la liquidez del protocolo. No sería una disputa de gobernanza, sino un guion de ataque camuflado como proceso institucional. Lo más inquietante es que no se explotó un fallo técnico del contrato, sino una debilidad del diseño de gobernanza. El atacante no estaba "hackeando" el protocolo; estaba utilizando de forma procedimental un sistema insuficientemente robusto. Un problema recurrente en la gobernanza DAO, esta vez en versión extrema Moonwell no es el primer proyecto DeFi que deja al descubierto vulnerabilidades de gobernanza. En los últimos años se ha discutido repetidamente si la gobernanza DAO refleja realmente un "consenso descentralizado". En 2024, Compound Finance vivió una controversia similar. Un grupo de inversores liderado por el usuario anónimo Humpy acumuló suficientes tokens de gobernanza para intentar sacar adelante una propuesta que transfería aproximadamente 24 millones de dólares de la tesorería a una bóveda privada. El episodio se resolvió mediante negociación y compromisos, pero evidenció que, si los tokens se concentran, una DAO puede ser "secuestrada con legitimidad procedimental" por una minoría. Más recientemente, la comunidad de Aave se enfrentó a críticas por la asignación de ingresos: comisiones generadas por una integración con el exchange descentralizado CoW Swap se dirigieron directamente a Aave Labs, y no a la DAO. El debate reabrió una cuestión de fondo: ¿qué posee realmente la DAO? ¿La marca, los ingresos, los derechos de gobernanza o solo una carcasa de votación? El caso Moonwell eleva el riesgo un escalón. La amenaza no proviene solo de grandes tenedores, sino también de atacantes capaces de comprar tokens de gobernanza poco líquidos a precios ínfimos y aprovechar procesos de propuesta con barreras bajas. Si Compound mostró el poder de los dominantes, Moonwell expone el peligro de una gobernanza barata. Qué margen de reacción le queda a Moonwell Moonwell aún dispone de opciones, aunque el margen es estrecho. Según los resultados públicos de la votación, en el momento de este informe alrededor del 68% de los votos se oponían a la propuesta, señal de que la comunidad la identifica como un ataque y no como una iniciativa ordinaria. Blockful advierte, no obstante, que el atacante podría controlar carteras adicionales aún no identificadas. Eso abre la puerta a un giro de última hora mediante concentración de votos desde wallets ocultas. Ante ese escenario, Blockful recomienda no depender únicamente del voto y activar el mecanismo defensivo ya existente: "Break Glass Guardian". Se trata de un freno de emergencia que permite a los firmantes de un multisig reasignar preventivamente privilegios administrativos, bloqueando el control efectivo de funciones críticas incluso si una propuesta maliciosa llega a aprobarse. Su lógica recuerda a los "cortacircuitos" o "fusibles" de las finanzas tradicionales. La existencia de este mecanismo revela una tensión central del sector: pese a la aspiración de autonomía total onchain, muchos proyectos necesitan respaldos centralizados o semicentralizados para momentos críticos. Y su activación implica una conclusión incómoda: confiar solo en el voto con tokens de gobernanza suele ser insuficiente para garantizar la seguridad. El riesgo sistémico de los tokens de gobernanza de bajo valor El incidente también subraya un problema estructural: cuando el precio del token de gobernanza permanece deprimido, la liquidez es baja, la propiedad está muy dispersa y la participación es limitada, las DAOs se convierten en objetivos especialmente vulnerables. La industria DeFi tiende a analizar la seguridad desde lo técnico —reentrancy, oráculos, control de accesos, gestión de claves privadas— y a infravalorar que la gobernanza también es una superficie de ataque. El riesgo se agrava en proyectos con TVL elevado y tokens de gobernanza de precio muy bajo, una combinación que puede generar una desalineación peligrosa: protocolos con decenas o cientos de millones bloqueados, mientras los derechos de control cuestan como "mercancía barata". En ese contexto, el atacante no necesita gran sofisticación técnica ni asaltar directamente una bóveda. Basta con encontrar un punto de entrada de baja fricción y convertir el propio proceso de gobernanza en un arma para desestabilizar el sistema. Por eso, el caso Moonwell apunta a convertirse en un ejemplo recurrente en los debates de 2026 sobre seguridad de gobernanza en DAOs. La lección es clara: sin umbrales eficaces, ejecución diferida, frenos de emergencia y una gestión adecuada de la distribución del token, la "gobernanza descentralizada" puede abrir una vía para el atacante más barata, más "legítima" y, al principio, más difícil de detectar. La cuestión ya no es solo si Moonwell resistirá, sino cuántos protocolos más están en una situación similar, a la espera del próximo intento.
Seleccionado
WELL
WELL-4.81%
GLMR
GLMR-4.46%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.