Token of Power perde 1,58M$ em exploração de governação, esvaziando pool do Balancer

O Token of Power ($TOP) perdeu 1,58 milhão de dólares hoje num exploit de governação que esvaziou um pool Balancer V1, indicaram empresas de segurança de blockchain. O atacante adquiriu mais de 50% do poder de votação $TOP devido ao fornecimento limitado do token, de 16.384 unidades, e depois cunhou 10 mil milhões de novos tokens numa única proposta maliciosa executada através de uma configuração de Aragon DAO. O exploit soma-se a um padrão de ataques de governação a projetos DeFi de baixa capitalização em 2026, onde a liquidez mínima e parâmetros permissivos tornam as tomadas de controlo acessíveis.

Attacker Minted 10 Billion Tokens Through Aragon DAO Proposal

Uma morada financiada através de Tornado Cash adquiriu mais de 50% do poder de votação $TOP , detendo mais de metade do fornecimento total de 16.384 TOP. Usando uma configuração de Aragon DAO com MiniMeToken, o atacante criou, votou e executou uma proposta maliciosa numa única transação. Isto acionou o TokenManager para cunhar 10 mil milhões de TOP diretamente para o contrato do atacante. Em seguida, os tokens recém-criados foram trocados por 944,2 WETH (aproximadamente 1,585 milhão de dólares) no pool Balancer V1 TOP/WETH, esgotando a sua liquidez. Os fundos roubados foram encaminhados de volta através de Tornado Cash. Não houve perdas no protocolo central do Balancer.

BlockSec Phalcon Urged Reviews of Similar Governance Systems

BlockSec Phalcon detalhou a mecânica e emitiu um aviso: "Os projetos que utilizam implementações de governação semelhantes a Lido/Aragon devem rever cuidadosamente a distribuição do poder de votação, os limiares de quorum/aprovação, as permissões de cunhagem e as salvaguardas relacionadas com a governação." Cyvers Alerts também reportou a transação suspeita envolvendo a morada financiada por Tornado Cash que executou a transação maliciosa, drenando fundos do pool Balancer V1 TOP/WETH.

Exploit Highlights Ongoing Risks in Low-Cap DeFi Governance

Este exploit soma-se ao padrão de ataques de governação a projetos DeFi mais pequenos em 2026, onde a liquidez baixa e parâmetros permissivos tornam as tomadas de controlo acessíveis. Embora os grandes protocolos tenham reforçado as defesas com timelocks e quoruns mais elevados, muitos tokens emergentes continuam expostos. Investidores em tokens de baixa capitalização e fornecedores de liquidez devem verificar os parâmetros de governação, monitorizar grandes acumulações de tokens e evitar pools não verificados. Projetos em stacks semelhantes deverão enfrentar maior escrutínio e pedidos de atualizações.

FAQ

Como é que o atacante assumiu o controlo da governação do Token of Power?
O atacante financiou uma morada através de Tornado Cash e adquiriu mais de 50% do poder de votação $TOP devido ao fornecimento limitado do token, de 16.384 unidades. Usando uma configuração de Aragon DAO com MiniMeToken, eles criaram, votaram e executaram uma proposta maliciosa numa única transação, acionando o TokenManager para cunhar 10 mil milhões de tokens TOP diretamente para o contrato deles.

O que aconteceu aos fundos roubados no exploit do Token of Power?
O atacante trocou os recém-cunhados 10 mil milhões de tokens TOP por 944,2 WETH (aproximadamente 1,585 milhão de dólares) no pool Balancer V1 TOP/WETH e depois encaminhou os fundos roubados de volta através de Tornado Cash. Não houve perdas no protocolo central do Balancer.