Token of Power verliert 1,58 Millionen US-Dollar bei Governance-Exploit und leitet Balancer-Pool ab

Das Token of Power ($TOP) verlor heute 1,58 Millionen US-Dollar in einem Governance-Exploit, der einen Balancer-V1-Pool leerte, wie Blockchain-Sicherheitsfirmen berichteten. Der Angreifer erwarb aufgrund der begrenzten Token-Zulassung von 16.384 Einheiten über 50% der $TOP -Voting-Power und prägte dann in einer einzigen, bösartigen Proposal, die über ein Aragon-DAO-Setup ausgeführt wurde, 10 Milliarden neue Tokens. Der Exploit reiht sich in ein Muster von Governance-Angriffen auf Low-Cap-DeFi-Projekte im Jahr 2026 ein, bei denen minimale Liquidität und nachlässige Parameter Übernahmen erschwinglich machen.

Attacker Minted 10 Billion Tokens Through Aragon DAO Proposal

Eine Adresse, die über Tornado Cash finanziert wurde, erwarb über 50% der $TOP -Voting-Power und hielt damit mehr als die Hälfte der insgesamt 16.384 TOP im Umlauf. Mithilfe eines Aragon-DAO-Setups mit MiniMeToken erstellte der Angreifer, stimmte ab und führte in einer einzigen Transaktion eine bösartige Proposal aus. Dadurch löste der TokenManager aus, 10 Milliarden TOP direkt an den Vertrag des Angreifers zu minten. Die neu erstellten Tokens wurden anschließend gegen 944,2 WETH (ungefähr 1,585 Millionen US-Dollar) im TOP/WETH Balancer-V1-Pool getauscht, wodurch dessen Liquidität vollständig abgebaut wurde. Die gestohlenen Gelder wurden zurück über Tornado Cash geleitet. Es gab keine Verluste für das Core-Protokoll von Balancer.

BlockSec Phalcon Urged Reviews of Similar Governance Systems

BlockSec Phalcon beschrieb die Mechanik im Detail und gab eine Warnung aus: „Projekte, die ähnliche Lido/Aragon-Governance-Implementierungen nutzen, sollten ihre Verteilung der Voting Power, Quorum-/Pass-Schwellen, Mint-Berechtigungen und die zugehörigen Governance-Schutzmechanismen sorgfältig prüfen.“ Cyvers Alerts berichtete ebenfalls von der verdächtigen Transaktion, bei der eine über Tornado Cash finanzierte Adresse die bösartige Transaktion ausführte, die Gelder aus dem TOP/WETH Balancer-V1-Pool abfließen ließ.

Exploit Highlights Ongoing Risks in Low-Cap DeFi Governance

Dieser Exploit reiht sich in das Muster der Governance-Angriffe auf kleinere DeFi-Projekte im Jahr 2026 ein, bei denen geringe Liquidität und nachlässige Parameter Übernahmen erschwinglich machen. Während große Protokolle ihre Abwehr mit Timelocks und höheren Quorums gestärkt haben, bleiben viele aufstrebende Token weiterhin anfällig. Investoren in Low-Cap-Tokens und Liquiditätsanbieter sollten Governance-Parameter überprüfen, große Token-Akkumulationen überwachen und ungeprüfte Pools meiden. Projekte auf ähnlichen Stacks werden voraussichtlich stärker unter die Lupe genommen und mit Forderungen nach Upgrades konfrontiert.

FAQ

How did the attacker take control of Token of Power governance? Der Angreifer finanzierte eine Adresse über Tornado Cash und erwarb aufgrund des begrenzten Angebots des Tokens von 16.384 Einheiten über 50% der $TOP -Voting-Power. Mithilfe eines Aragon-DAO-Setups mit MiniMeToken erstellten, stimmten sie ab und führten sie in einer einzigen Transaktion eine bösartige Proposal aus, wodurch der TokenManager ausgelöst wurde, 10 Milliarden TOP-Tokens direkt an ihren Vertrag zu minten.

What happened to the stolen funds from the Token of Power exploit? Der Angreifer tauschte die neu geminteten 10 Milliarden TOP gegen 944,2 WETH (ungefähr 1,585 Millionen US-Dollar) im TOP/WETH Balancer-V1-Pool und leitete dann die gestohlenen Gelder zurück über Tornado Cash. Es gab keine Verluste für das Core-Protokoll von Balancer.