Токен Power теряет $1,58 млн из-за эксплойта в управлении через DAO Aragon

Протокол Token of Power был взломан примерно на $1,58 миллиона в WETH через захват управления, сообщила компания TRM Labs, занимающаяся блокчейн-интеллектом. Злоумышленник воспользовался уязвимостью в настройке Aragon DAO протокола: отсутствием timelock, который позволял бы предлагать, голосовать и исполнять вредоносное действие управления в одном и том же блоке. Взлом подчеркивает, как параметры дизайна управления могут стать прямыми проблемами безопасности в DeFi-протоколах, когда голосующую власть можно быстро получить и выполнить без механизмов задержки.

Злоумышленник использовал управление Aragon DAO Token of Power без timelock

Согласно анализу TRM Labs, злоумышленник профинансировал операцию 662 ETH, выведенными из Tornado Cash. Затем злоумышленник приобрел достаточно токенов TOP, чтобы получить большинство голосов в системе управления протокола. После того как контроль голосования был обеспечен, злоумышленник отчеканил 10 миллиардов новых токенов TOP и обменял их на WETH через пул Balancer. Похищенные средства впоследствии были снова направлены через Tornado Cash.

Атака удалась, потому что управление Aragon DAO протокола Token of Power не имело механизма timelock. Его отсутствие позволило злоумышленнику предложить вредоносное действие, проголосовать и исполнить его в рамках одного блока, не оставив возможности протокольным защитникам или пользователям вмешаться.

Tornado Cash использовался для финансирования и маршрутизации, но сам не был скомпрометирован

В отчете TRM Labs уточняется, что Tornado Cash выступал инструментом для финансирования атаки и маршрутизации украденных активов. Сам Tornado Cash не был взломан или использован в этом инциденте. Миксер применялся злоумышленником, чтобы скрыть происхождение исходных 662 ETH, а затем отмыть украденный WETH после того, как был выполнен эксплойт управления.

Ошибки в дизайне управления создают уязвимости безопасности

Timelocks — это механизмы управления, предназначенные для введения обязательных задержек между одобрением предложения и его исполнением. Эти задержки дают пользователям протокола, разработчикам и командам по безопасности время обнаружить и отреагировать на вредоносные предложения до того, как они станут необратимыми.

Без timelock враждебный актор, который получает достаточную голосующую власть, может сразу исполнять изменения управления, выводящие средства казны, чеканящие токены или меняющие параметры протокола. Эксплойт Token of Power демонстрирует, как конфигурации управления могут работать как поверхность атаки, когда отсутствуют надлежащие защитные меры.

Ончейн-отчет TRM Labs по безопасности предоставляет технические детали эксплойта. Отчет доступен через официальные ресурсы TRM Labs.

FAQ

Что произошло при эксплойте Token of Power?

Протокол Token of Power был взломан примерно на $1,58 миллиона в WETH через захват управления. Злоумышленник использовал отсутствие timelock в настройке Aragon DAO протокола, что позволило ему предложить, проголосовать и исполнить вредоносное действие в одном блоке после получения большинства голосов с помощью приобретенных токенов TOP.

Как злоумышленник профинансировал и выполнил эксплойт управления Token of Power?

Злоумышленник вывел 662 ETH из Tornado Cash, приобрел достаточно токенов TOP, чтобы контролировать голосование управления, отчеканил 10 миллиардов новых токенов TOP, обменял их на WETH через пул Balancer и направил украденные средства обратно через Tornado Cash. TRM Labs уточняет, что Tornado Cash использовался как инструмент для финансирования и отмывания, но сам не был скомпрометирован.

Почему timelocks важны для управления в DeFi?

Timelocks вводят обязательные задержки между одобрением предложения в системе управления и его исполнением, предоставляя пользователям и командам безопасности время для обнаружения и реакции на вредоносные предложения. Без timelocks атакующие, получившие голосовую власть, могут сразу исполнять изменения, выводящие средства или изменяющие параметры протокола до того, как кто-либо сможет вмешаться, как показано в эксплойте Token of Power.