فقد رمز Token of Power ($TOP) اليوم 1.58 مليون دولار في استغلال حوكمة سحب سيولة من حوض Balancer V1، بحسب شركات أمن بلوكتشين. استحوذ المهاجم على أكثر من 50% من قوة التصويت لدى $TOP بسبب محدودية العرض للرمز، البالغ 16,384 وحدة، ثم أنشأ 10 مليارات من الرموز الجديدة في مقترح خبيث واحد نُفّذ عبر إعداد Aragon DAO. ويضيف هذا الاستغلال إلى نمط من هجمات الحوكمة على مشاريع DeFi منخفضة القيمة السوقية في 2026، حيث تجعل السيولة المحدودة والمعايير المتساهلة عمليات الاستيلاء ميسورة التكلفة.
المهاجم أنشأ 10 مليارات من الرموز عبر مقترح Aragon DAO
حصل عنوان موّلته Tornado Cash على أكثر من 50% من قوة التصويت لدى $TOP ، محتفظًا بأكثر من نصف إجمالي إمداد 16,384 من TOP. وباستخدام إعداد Aragon DAO مع MiniMeToken، أنشأ المهاجم مقترحًا خبيثًا وصوّت عليه ونفّذه في معاملة واحدة. وقد أدى ذلك إلى قيام TokenManager بإنشاء 10 مليارات من TOP مباشرةً إلى عقد المهاجم. ثم تم تداول الرموز التي تم إنشاؤها حديثًا مقابل 944.2 WETH (بما يعادل حوالي 1.585 مليون دولار) في حوض TOP/WETH من Balancer V1، ما أدى إلى استنزاف سيولته. وتم توجيه الأموال المسروقة مرة أخرى عبر Tornado Cash. ولم تحدث أي خسائر لبروتوكول Balancer الأساسي.
BlockSec Phalcon دعا إلى مراجعة أنظمة حوكمة مماثلة
قدّم BlockSec Phalcon تفاصيل آلية الهجوم وأصدر تحذيرًا: "على المشاريع التي تستخدم تطبيقات حوكمة مماثلة لـ Lido/Aragon أن تراجع بدقة توزيع قوة التصويت، وحدود النصاب/النجاح، وصلاحيات إنشاء الرموز، وإجراءات الحماية ذات الصلة بالحوكمة." كما أفادت Cyvers Alerts أيضًا بمعاملة مشبوهة تتضمن العنوان المموّل عبر Tornado Cash والذي نفّذ المعاملة الخبيثة لسحب الأموال من حوض TOP/WETH في Balancer V1.
الاستغلال يبرز المخاطر المستمرة في حوكمة DeFi منخفضة القيمة
يضيف هذا الاستغلال إلى نمط هجمات الحوكمة على مشاريع DeFi الأصغر في 2026، حيث تجعل السيولة المنخفضة والمعايير المتساهلة عمليات الاستيلاء ميسورة التكلفة. ومع أن البروتوكولات الكبرى عززت دفاعاتها باستخدام مؤقتات زمنية (timelocks) ونصاب أعلى، لا تزال العديد من الرموز الناشئة مكشوفة. ينبغي للمستثمرين في الرموز منخفضة القيمة ولمزودي السيولة التحقق من معلمات الحوكمة، ومراقبة التراكمات الكبيرة للرموز، وتجنب الأحواض غير المختبرة. ومن المرجح أن تواجه المشاريع المبنية على مكدسات مماثلة تدقيقًا متزايدًا ونداءات لإجراء ترقيات.
الأسئلة الشائعة
كيف استحوذ المهاجم على حوكمة Token of Power؟
موّل المهاجم عنوانًا عبر Tornado Cash واستحوذ على أكثر من 50% من قوة التصويت لدى $TOP بسبب محدودية العرض للرمز البالغ 16,384 وحدة. وباستخدام إعداد Aragon DAO مع MiniMeToken، أنشأ المقترح الخبيث وصوّت عليه ونفّذه في معاملة واحدة، ما أدى إلى قيام TokenManager بإنشاء 10 مليارات من رموز TOP مباشرةً إلى عقده.
ماذا حدث للأموال المسروقة من استغلال Token of Power؟
قام المهاجم بتبادل 10 مليارات من رموز TOP التي تم إنشاؤها حديثًا مقابل 944.2 WETH (بما يعادل حوالي 1.585 مليون دولار) في حوض TOP/WETH من Balancer V1، ثم وجّه الأموال المسروقة مرة أخرى عبر Tornado Cash. لم تحدث أي خسائر لبروتوكول Balancer الأساسي.
