Token of Power verliert 1,58 Mio. US-Dollar durch einen Governance-Exploit über Aragon DAO

Das Token-of-Power-Protokoll wurde laut der Blockchain-Intelligence-Firma TRM Labs im Rahmen eines Governance-Takeovers ungefähr im Wert von 1,58 Millionen US-Dollar in WETH ausgenutzt. Der Angreifer nutzte eine Schwäche in der Aragon-DAO-Umsetzung des Protokolls aus: Das Fehlen eines Timelocks ermöglichte es, eine bösartige Governance-Aktion vorzuschlagen, abzustimmen und in einem einzigen Block auszuführen. Der Exploit zeigt, wie Governance-Designparameter zu direkten Sicherheitslücken in DeFi-Protokollen werden können, wenn die Stimmkraft schnell erworben und ohne Verzögerungsmechanismen ausgeführt werden kann.

Angreifer nutzte die Aragon-DAO-Governance von Token of Power ohne Timelock aus

Laut der Analyse von TRM Labs finanzierte der Angreifer die Operation mit 662 ETH, die aus Tornado Cash abgezogen wurden. Anschließend kaufte der Angreifer genug TOP-Token, um die Mehrheit der Stimmrechte im Governance-System des Protokolls zu erlangen. Nachdem die Stimmkontrolle gesichert war, prägt der Angreifer 10 Milliarden neue TOP-Token und tauschte diese Token über einen Balancer-Pool gegen WETH. Die gestohlenen Mittel wurden danach wieder über Tornado Cash zurückgeleitet.

Der Angriff gelang, weil die Aragon-DAO-Governance von Token of Power keinen Timelock-Mechanismus hatte. Durch dessen Fehlen konnte der Angreifer die bösartige Governance-Aktion innerhalb eines einzigen Blocks vorschlagen, darüber abstimmen und ausführen, ohne dass es eine Gelegenheit für Protokollverteidiger oder Nutzer gab, einzugreifen.

Tornado Cash für Finanzierung und Routing genutzt, nicht selbst kompromittiert

Der Bericht von TRM Labs stellt klar, dass Tornado Cash als Werkzeug für die Finanzierung des Angriffs und für das Routing der gestohlenen Assets diente. Tornado Cash selbst wurde in diesem Vorfall nicht gehackt oder ausgenutzt. Der Mixer wurde vom Angreifer verwendet, um die Herkunft der anfänglichen 662 ETH zu verschleiern und um das gestohlene WETH zu waschen, nachdem der Governance-Exploit ausgeführt worden war.

Governance-Designfehler schaffen Sicherheitslücken

Timelocks sind Governance-Mechanismen, die verbindliche Verzögerungen zwischen der Genehmigung eines Vorschlags und dessen Ausführung einführen. Diese Verzögerungen geben Protokollnutzern, Entwicklern und Sicherheitsteams Zeit, bösartige Vorschläge zu erkennen und darauf zu reagieren, bevor sie unumkehrbar werden.

Ohne Timelock kann ein böswilliger Akteur, der genügend Stimmkraft erlangt hat, Governance-Änderungen sofort ausführen, die Treasury-Mittel abziehen, Token prägen oder Protokollparameter verändern. Der Exploit von Token of Power zeigt, wie Governance-Konfigurationen als Angriffsflächen funktionieren können, wenn geeignete Schutzmaßnahmen fehlen.

Der On-Chain-Sicherheitsbericht von TRM Labs liefert die technischen Details des Exploits. Der Bericht ist über die offiziellen Ressourcen von TRM Labs verfügbar.

FAQ

Was ist beim Token-of-Power-Exploit passiert?

Das Token-of-Power-Protokoll wurde im Rahmen eines Governance-Takeovers im Wert von ungefähr 1,58 Millionen US-Dollar in WETH ausgenutzt. Der Angreifer nutzte das Fehlen eines Timelocks in der Aragon-DAO-Umsetzung des Protokolls aus, sodass er nach dem Erreichen der Mehrheit der Stimmrechte durch gekaufte TOP-Token eine bösartige Aktion vorschlagen, abstimmen und in einem einzigen Block ausführen konnte.

Wie hat der Angreifer die Token-of-Power-Governance ausfinanziert und ausgeführt?

Der Angreifer zog 662 ETH aus Tornado Cash ab, kaufte genug TOP-Token, um die Governance-Abstimmung zu kontrollieren, prägte 10 Milliarden neue TOP-Token, tauschte sie über einen Balancer-Pool gegen WETH und leitete die gestohlenen Mittel zurück über Tornado Cash. TRM Labs stellt klar, dass Tornado Cash als Werkzeug für Finanzierung und Laundering genutzt wurde, aber selbst nicht kompromittiert war.

Warum sind Timelocks in der DeFi-Governance wichtig?

Timelocks führen verpflichtende Verzögerungen zwischen der Genehmigung eines Governance-Vorschlags und dessen Ausführung ein und geben Nutzern sowie Sicherheitsteams Zeit, bösartige Vorschläge zu erkennen und darauf zu reagieren. Ohne Timelocks können Angreifer, die Stimmkraft erlangen, Änderungen sofort ausführen, die Mittel abziehen oder Protokollparameter verändern, bevor jemand eingreifen kann – wie beim Token-of-Power-Exploit gezeigt.