Token of Power Kehilangan $1,58 juta dalam Eksploit Tata Kelola yang Menguras Pool Balancer

Token of Power ($TOP) kehilangan $1,58 juta hari ini dalam eksploit tata kelola yang menguras sebuah pool Balancer V1, menurut laporan perusahaan keamanan blockchain. Penyerang memperoleh lebih dari 50% dari kekuatan voting $TOP karena pasokan token yang terbatas yaitu 16.384 unit, lalu mencetak 10 miliar token baru dalam satu proposal berbahaya yang dieksekusi melalui pengaturan Aragon DAO. Eksploit ini menambah pola serangan tata kelola terhadap proyek DeFi berkapasitas rendah di 2026, di mana likuiditas minimal dan parameter yang longgar membuat upaya pengambilalihan menjadi terjangkau.

Penyerang Mencetak 10 Miliar Token Melalui Proposal Aragon DAO

Sebuah alamat yang didanai melalui Tornado Cash memperoleh lebih dari 50% dari kekuatan voting $TOP , memegang lebih dari separuh dari total pasokan TOP 16.384. Dengan menggunakan pengaturan Aragon DAO bersama MiniMeToken, penyerang membuat, memberi suara, dan mengeksekusi proposal berbahaya dalam satu transaksi. Ini memicu TokenManager untuk mencetak 10 miliar TOP langsung ke kontrak penyerang. Token yang baru dibuat kemudian ditukar menjadi 944,2 WETH (sekitar $1,585 juta) di pool TOP/WETH Balancer V1, sehingga menguras likuiditasnya. Dana hasil pencurian dialirkan kembali melalui Tornado Cash. Tidak ada kerugian yang terjadi pada protokol inti Balancer.

BlockSec Phalcon Mendesak Peninjauan Sistem Tata Kelola Serupa

BlockSec Phalcon merinci mekanismenya dan mengeluarkan peringatan: "Proyek yang menggunakan implementasi tata kelola Lido/Aragon yang serupa harus meninjau dengan saksama distribusi kekuatan voting, ambang kuorum/lulus, izin pencetakan, serta perlindungan tata kelola terkait." Cyvers Alerts juga melaporkan transaksi mencurigakan yang melibatkan alamat yang didanai Tornado Cash dan mengeksekusi transaksi berbahaya yang menguras dana dari Pool Balancer V1 TOP/WETH.

Eksploit Menyorot Risiko Berkelanjutan dalam Tata Kelola DeFi Berkapasitas Rendah

Eksploit ini menambah pola serangan tata kelola terhadap proyek DeFi yang lebih kecil di 2026, di mana likuiditas rendah dan parameter longgar membuat pengambilalihan lebih mudah dilakukan. Meskipun protokol besar telah memperkuat pertahanan dengan timelock dan kuorum yang lebih tinggi, banyak token yang baru muncul masih rentan. Investor pada token berkapasitas rendah dan penyedia likuiditas harus memverifikasi parameter tata kelola, memantau akumulasi token dalam jumlah besar, dan menghindari pool yang belum diverifikasi. Proyek pada tumpukan serupa kemungkinan akan menghadapi pengawasan yang lebih ketat dan seruan untuk peningkatan.

FAQ

Bagaimana penyerang mengambil alih tata kelola Token of Power? Penyerang mendanai sebuah alamat melalui Tornado Cash dan memperoleh lebih dari 50% dari kekuatan voting $TOP karena pasokan token yang terbatas yaitu 16.384 unit. Dengan menggunakan pengaturan Aragon DAO bersama MiniMeToken, mereka membuat, memberi suara, dan mengeksekusi proposal berbahaya dalam satu transaksi, sehingga memicu TokenManager untuk mencetak 10 miliar token TOP langsung ke kontrak mereka.

Apa yang terjadi pada dana hasil pencurian dari eksploit Token of Power? Penyerang menukar 10 miliar token TOP yang baru dicetak untuk 944,2 WETH (sekitar $1,585 juta) di pool Balancer V1 TOP/WETH, lalu mengalihkan kembali dana hasil pencurian tersebut melalui Tornado Cash. Tidak ada kerugian yang terjadi pada protokol inti Balancer.