Token of Power perde US$ 1,58 milhão em exploração de governança, esvaziando pool da Balancer

O Token of Power ($TOP) perdeu US$ 1,58 milhão hoje em um exploit de governança que drenou um pool Balancer V1, relataram empresas de segurança de blockchain. O atacante adquiriu mais de 50% do poder de voto de $TOP por causa da oferta limitada do token, de 16.384 unidades, e depois cunhou 10 bilhões de novos tokens em uma única proposta maliciosa executada por meio de uma configuração de Aragon DAO. O exploit se soma a um padrão de ataques de governança contra projetos DeFi de baixa capitalização em 2026, em que pouca liquidez e parâmetros frouxos tornam as tomadas de controle mais acessíveis.

Atacante Cunhou 10 Bilhões de Tokens via Proposta do Aragon DAO

Um endereço financiado por meio do Tornado Cash adquiriu mais de 50% do poder de voto de $TOP , detendo mais da metade da oferta total de 16.384 do TOP. Usando uma configuração de Aragon DAO com MiniMeToken, o atacante criou, votou e executou uma proposta maliciosa em uma única transação. Isso acionou o TokenManager para cunhar 10 bilhões de TOP diretamente para o contrato do atacante. Em seguida, os tokens recém-criados foram trocados por 944,2 WETH (aproximadamente US$ 1,585 milhão) no pool Balancer V1 TOP/WETH, esgotando sua liquidez. Os fundos roubados foram roteados de volta via Tornado Cash. Não houve perdas no protocolo central do Balancer.

BlockSec Phalcon pediu revisões de sistemas de governança semelhantes

BlockSec Phalcon detalhou os mecanismos e emitiu um alerta: "Projetos que usam implementações de governança semelhantes a Lido/Aragon devem revisar cuidadosamente a distribuição de poder de voto, os limites de quórum/aprovação, permissões de cunhagem e salvaguardas relacionadas de governança." Cyvers Alerts também reportou a transação suspeita envolvendo o endereço financiado pelo Tornado Cash que executou a transação maliciosa drenando fundos do pool Balancer V1 TOP/WETH.

Exploit evidencia riscos contínuos na governança DeFi de baixa capitalização

Este exploit se soma ao padrão de ataques de governança em projetos menores de DeFi em 2026, onde baixa liquidez e parâmetros frouxos tornam as tomadas de controle mais acessíveis. Embora grandes protocolos tenham reforçado defesas com timelocks e quóruns mais altos, muitos tokens emergentes continuam expostos. Investidores em tokens de baixa capitalização e provedores de liquidez devem verificar parâmetros de governança, monitorar grandes acúmulos de tokens e evitar pools não verificados. Projetos em stacks semelhantes provavelmente enfrentarão maior escrutínio e pedidos de upgrades.

FAQ

Como o atacante assumiu o controle da governança do Token of Power?
O atacante financiou um endereço via Tornado Cash e adquiriu mais de 50% do poder de voto de $TOP devido à oferta limitada do token, de 16.384 unidades. Usando uma configuração de Aragon DAO com MiniMeToken, eles criaram, votaram e executaram uma proposta maliciosa em uma única transação, acionando o TokenManager para cunhar 10 bilhões de tokens TOP diretamente para o contrato deles.

O que aconteceu com os fundos roubados do exploit do Token of Power?
O atacante trocou os recém-cunhados 10 bilhões de tokens TOP por 944,2 WETH (aproximadamente US$ 1,585 milhão) no pool Balancer V1 TOP/WETH e, em seguida, roteou os fundos roubados de volta via Tornado Cash. Não houve perdas no protocolo central do Balancer.