Token of Power втрачає 1,58 млн доларів у експлойті управління, який осушив пул Balancer

Токен Power ($TOP) сьогодні втратив 1,58 мільйона доларів через експлойт із керуванням (governance), який осушив пул Balancer V1, повідомили фірми з безпеки блокчейна. Зловмисник отримав понад 50% $TOP -владного голосу завдяки обмеженій пропозиції токена — 16 384 одиниці, а потім у межах одного зловмисного пропозиції виконав карбування 10 мільярдів нових токенів через налаштування Aragon DAO. Експлойт додається до патерну атак на керування в DeFi-проєктах із низькою капіталізацією в 2026 році, де мінімальна ліквідність і слабкі параметри роблять захоплення доступними.

Зловмисник карбував 10 мільярдів токенів через пропозицію Aragon DAO

Адреса, профінансована через Tornado Cash, отримала понад 50% $TOP -владного голосу, утримуючи більше половини від загальної пропозиції TOP у 16 384. Використовуючи налаштування Aragon DAO з MiniMeToken, зловмисник створив, проголосував і виконав зловмисне пропозиція в межах однієї транзакції. Це змусило TokenManager карбувати 10 мільярдів TOP безпосередньо на контракт зловмисника. Потім щойно створені токени обміняли на 944,2 WETH (приблизно 1,585 мільйона доларів) у пулі TOP/WETH Balancer V1, виснаживши його ліквідність. Вкрадені кошти повернули назад через Tornado Cash. Жодних втрат не було в базовому (core) протоколі Balancer.

BlockSec Phalcon закликав переглянути подібні системи керування

BlockSec Phalcon детально описав механіку та видав попередження: «Проєкти, які використовують подібні реалізації governance на базі Lido/Aragon, мають ретельно перевірити розподіл владних голосів, пороги кворуму/проходження, дозволи на карбування та пов’язані запобіжники в governance». Cyvers Alerts також повідомляли про підозрілу транзакцію за участю адреси, профінансованої Tornado Cash, яка виконала зловмисну транзакцію й вивела кошти з пулу TOP/WETH Balancer V1.

Експлойт підсвічує триваючі ризики в governance DeFi із низькою капіталізацією

Цей експлойт додається до патерну атак на governance на менші DeFi-проєкти в 2026 році, де низька ліквідність і слабкі параметри роблять захоплення доступними. Хоча великі протоколи посилили захист за допомогою timelock і вищих кворумів, багато токенів, що тільки виходять, залишаються вразливими. Інвесторам у токени з низькою капіталізацією та постачальникам ліквідності слід перевіряти параметри governance, стежити за накопиченням великих обсягів токенів і уникати неперевірених пулів. Проєкти на подібних стекам, імовірно, стикаються з підвищеною увагою та закликами до оновлень.

FAQ

Як зловмисник захопив керування Token of Power?
Зловмисник профінансував адресу через Tornado Cash і отримав понад 50% $TOP -владного голосу через обмежену пропозицію токена в 16 384 одиниці. Використовуючи налаштування Aragon DAO з MiniMeToken, він створив, проголосував і виконав зловмисне пропозиція в межах однієї транзакції, що змусило TokenManager карбувати 10 мільярдів токенів TOP безпосередньо на його контракт.

Що сталося з викраденими коштами з експлойта Token of Power?
Зловмисник обміняв щойно створені 10 мільярдів токенів TOP на 944,2 WETH (приблизно 1,585 мільйона доларів) у пулі TOP/WETH Balancer V1, а потім повернув вкрадені кошти назад через Tornado Cash. Жодних втрат не було в базовому (core) протоколі Balancer.