据 TRM Labs 称,Power 协议的 Token 在一次治理接管中遭到利用,导致约 158 万美元的 WETH 被抽走。攻击者利用了该协议在 Aragon DAO 设置中缺少时间锁,从而使一项恶意治理行动能够被提出、投票并在单个区块内执行。
攻击者使用来自 Tornado Cash 的 ETH 为该行动提供资金,在 TOP 代币中获得了多数投票权,铸造了 100 亿个新的 TOP 代币,并通过 Balancer 池将其兑换为 WETH,然后再将被盗资金经由 Tornado Cash 回流。TRM Labs 澄清称,Tornado Cash 本身并未被黑客入侵,但在该漏洞利用中被用作资金与路由机制。
