Logo

Seguridad en acción: un hackeo real y cómo la DAO lo recuperó

June 9, 2026
Seguridad en acción: un hackeo real y cómo la DAO lo recuperó

Ayer, la DAO votó sobre algo bastante más serio que una prueba.

A uno de nuestros usuarios le hackearon. Le robaron todo su negocio, la NFT y la estructura de socios. Y ayer, mediante voto de la comunidad, volvió a su dueño legítimo.

Muchos de vosotros pedisteis la historia completa. Aquí va, sin rodeos: qué pasó, cómo se resolvió, qué demuestra sobre cómo está construido este protocolo y la nueva capa de seguridad que vamos a añadir por ello.

Qué ocurrió

A uno de nuestros participantes le comprometieron la wallet. El atacante consiguió acceso a la frase semilla de la wallet, la llave maestra de todo lo que había dentro.

Seamos precisos en una cosa: esto no fue una brecha de la plataforma ni de los smart contracts. El protocolo en sí nunca estuvo comprometido. El atacante entró en la wallet del usuario a la vieja usanza, robando las llaves.

En ese momento, la función Business Sale estaba habilitada temporalmente. La habíamos activado antes como parte de la prueba de gobernanza de la DAO y lo anunciamos públicamente. El atacante aprovechó esa ventana abierta. Con el control de la wallet comprometida, ejecutó una transferencia de negocio y movió toda la cuenta de la víctima, la NFT y toda la estructura del árbol de socios, a su propia dirección.

Un negocio construido durante meses, perdido en una sola transacción.

Antes que nada, lo más importante

Para entender cómo se resolvió esto, primero tienes que entender qué NO podía pasar.

El equipo no tiene acceso a tu negocio. Ninguno.

No podemos mover tu NFT. No podemos tocar tu estructura. No podemos congelar, incautar ni transferir nada de tu cuenta. No es una política que pudiéramos cambiar en silencio mañana, es la forma en que están construidos los smart contracts, confirmada en la auditoría de CertiK y aplicada por la propia blockchain.

Esto es lo que realmente significa la descentralización. Si pudiéramos meter la mano en las cuentas y “arreglar” cosas por nuestra cuenta, tus activos solo estarían tan seguros como nuestra buena fe, y tendrías que confiar en nosotros igual que confías en un banco. Ese es exactamente el modelo que este protocolo nació para sustituir.

Así que, cuando ocurrió el hackeo, no había ningún botón de administrador que pulsar. No podía haberlo. Y es así a propósito.

Cómo se resolvió de verdad

Lo que sí existe es la DAO.

La víctima contactó con soporte. Su líder upline, la persona que la incorporó originalmente al ecosistema, la respaldó y confirmó la situación. El equipo verificó la identidad del propietario y su control exclusivo de una wallet nueva y segura. Y entonces se puso en marcha el único mecanismo con autoridad para actuar: una votación comunitaria.

Dos propuestas fueron on-chain:

1. Desactivar Business Sale. La fase de prueba de gobernanza ya estaba terminada de todos modos, y la vía de transferencia abierta fue exactamente la superficie que usó el atacante. La DAO votó apagar la función en todo el protocolo. Permanece apagada hasta que una votación futura decida lo contrario.

2. Recuperar la cuenta robada. La DAO autorizó migrar la posición robada, la NFT, la estructura y todo lo vinculado a ella, desde la dirección del atacante a una nueva wallet controlada solo por el propietario verificado. No de vuelta a la wallet original: esa sigue comprometida, y devolver el negocio allí sería entregárselo directamente al mismo atacante.

Ambas propuestas fueron aprobadas. Ambas se ejecutaron on-chain. Los textos completos de las propuestas son públicos en la página de la DAO para cualquiera que quiera todos los detalles.

El resultado: el propietario vuelve a operar desde una wallet segura. La dirección del atacante se queda sin nada.

Para que conste, la DAO también tiene el poder de congelar por completo una cuenta maliciosa. En este caso ni siquiera hizo falta, la migración misma dejó al atacante sin ninguna posición.

Qué demuestra esto

Planeamos una prueba de gobernanza para validar propuestas, votación y ejecución. Lo que obtuvimos, en cambio, fue un incidente real que puso todo el modelo de seguridad bajo presión de verdad.

El modelo aguantó:

  • El equipo por sí solo no podía hacer nada, por diseño.

  • La comunidad, a través de la DAO, podía hacer todo lo necesario: cerrar la superficie de ataque, quitarle las posiciones al atacante y restaurar al propietario.

Esa combinación es la idea central. Ninguna parte por sí sola, ni el equipo ni ninguna persona individual, puede tocar tus activos. Pero la comunidad, actuando junta mediante una votación abierta on-chain, puede restaurar la justicia cuando algo sale mal.

Las plataformas centralizadas te dan lo segundo sin lo primero. La mayoría de DeFi te da lo primero sin lo segundo. Este protocolo tiene ambas cosas.

Qué deberías hacer ahora mismo

Las defensas del protocolo funcionaron. Pero este incidente empezó donde empiezan la mayoría de los incidentes: con una wallet comprometida. La capa de seguridad más fuerte es la que configuras tú mismo.

Tres cosas, hoy:

1. Configura tu contraseña financiera. Una contraseña separada, necesaria para mover fondos e independiente de tu inicio de sesión. Si un estafador entra en tu cuenta sin ella, se topa con un muro.

2. Activa todas las capas de seguridad que te ofrece la plataforma. Códigos TAN para transacciones, 2FA y el bot oficial de Telegram para verificar acciones. Cada capa es una cosa más que el atacante tiene que romper.

3. Protege tu frase semilla como si fuera el negocio en sí. Porque lo es. Nunca la escribas en ningún sitio web, nunca la compartas con nadie, nunca la guardes en notas en la nube ni en capturas de pantalla.

Si estas capas no están configuradas, un atacante que consiga entrar puede moverse rápido. Cada capa que activas lo frena o lo detiene por completo.

Nuevo: el Secret Code

Este caso nos enseñó dónde tiene sentido una capa más. Así que vamos a añadirla.

Durante la próxima semana, vamos a lanzar el Secret Code , un nuevo elemento del sistema de seguridad de la cuenta.

Cómo funciona:

  • Cuando generas tu contraseña financiera, el sistema crea un Secret Code, una palabra aleatoria que se te muestra una sola vez.

  • Si ya tienes una contraseña financiera, tu código también se te mostrará.

  • Anótalo y guárdalo sin conexión. Trátalo como tratas una frase semilla.

  • A partir de ese momento, cualquier solicitud sensible de seguridad enviada a soporte, restablecer una contraseña financiera, acciones de recuperación, cualquier cosa de esa categoría, exigirá que indiques tu Secret Code.

Sin código, no hay cambios. Aunque un atacante tome el control de tu email o tus mensajes, no podrá hacerse pasar por ti ante soporte sin esa palabra.

La votación de ayer hizo más que arreglar una cuenta. Demostró, en producción y con dinero real en juego, que este protocolo puede proteger a sus usuarios sin que nadie tenga poder centralizado sobre ellos.

El usuario atacado recuperó su negocio. El atacante se fue con las manos vacías. La comunidad lo hizo posible, de forma abierta, on-chain y por votación.

La justicia prevaleció. Así es como el sistema funciona cuando está diseñado exactamente para esto.