Le token de Power perd 1,58 million de dollars dans un exploit de gouvernance en vidant un pool Balancer

Le Token of Power ($TOP) a perdu 1,58 million de dollars aujourd’hui lors d’un exploit de gouvernance qui a vidé un pool Balancer V1, ont rapporté des sociétés de sécurité blockchain. L’attaquant a acquis plus de 50% du $TOP pouvoir de vote grâce à l’offre limitée du token de 16 384 unités, puis a frappé 10 milliards de nouveaux tokens dans une seule proposition malveillante exécutée via une configuration Aragon DAO. L’exploit s’ajoute à une série d’attaques de gouvernance visant des projets DeFi à faible capitalisation en 2026, où une liquidité minimale et des paramètres laxistes rendent les prises de contrôle abordables.

L’attaquant a frappé 10 milliards de tokens via une proposition Aragon DAO

Une adresse financée via Tornado Cash a acquis plus de 50% du $TOP pouvoir de vote, détenant plus de la moitié des 16 384 tokens TOP en circulation. En utilisant une configuration Aragon DAO avec MiniMeToken, l’attaquant a créé, voté et exécuté une proposition malveillante en une seule transaction. Cela a déclenché le TokenManager pour frapper 10 milliards de TOP directement vers le contrat de l’attaquant. Les tokens nouvellement créés ont ensuite été échangés contre 944,2 WETH (environ 1,585 million de dollars) dans le pool Balancer V1 TOP/WETH, vidant sa liquidité. Les fonds volés ont été renvoyés via Tornado Cash. Aucune perte n’a été subie par le protocole de base de Balancer.

BlockSec Phalcon a exhorté à examiner des systèmes de gouvernance similaires

BlockSec Phalcon a détaillé les mécanismes et lancé un avertissement : « Les projets utilisant des implémentations de gouvernance similaires de Lido/Aragon devraient examiner attentivement la répartition du pouvoir de vote, les seuils de quorum/validation, les autorisations de frappe et les protections de gouvernance associées. » Cyvers Alerts a aussi signalé la transaction suspecte impliquant l’adresse financée via Tornado Cash qui a exécuté la transaction malveillante en drainant des fonds depuis le pool Balancer V1 TOP/WETH.

L’exploit met en évidence des risques persistants dans la gouvernance DeFi à faible capitalisation

Cet exploit s’inscrit dans le schéma d’attaques de gouvernance de 2026 visant des projets DeFi plus modestes, où la faible liquidité et des paramètres laxistes rendent les prises de contrôle abordables. Si les grands protocoles ont renforcé leurs défenses avec des timelocks et des quorums plus élevés, de nombreux tokens émergents restent exposés. Les investisseurs dans les tokens à faible capitalisation et les fournisseurs de liquidité devraient vérifier les paramètres de gouvernance, surveiller les accumulations importantes de tokens et éviter les pools non vérifiés. Les projets reposant sur des piles similaires feront probablement face à un surcroît d’examen et à des appels à des mises à niveau.

FAQ

Comment l’attaquant a-t-il pris le contrôle de la gouvernance de Token of Power ?
L’attaquant a financé une adresse via Tornado Cash et a acquis plus de 50% du $TOP pouvoir de vote en raison de l’offre limitée du token de 16 384 unités. En utilisant une configuration Aragon DAO avec MiniMeToken, il a créé, voté et exécuté une proposition malveillante en une seule transaction, déclenchant le TokenManager pour frapper 10 milliards de tokens TOP directement vers son contrat.

Que s’est-il passé avec les fonds volés lors de l’exploit Token of Power ?
L’attaquant a échangé les 10 milliards de tokens TOP nouvellement frappés contre 944,2 WETH (environ 1,585 million de dollars) dans le pool Balancer V1 TOP/WETH, puis a renvoyé les fonds volés via Tornado Cash. Aucune perte n’a été subie par le protocole de base de Balancer.