Token of Power mất 1,58 triệu USD trong vụ khai thác quản trị, rút cạn nhóm Balancer

Token of Power ($TOP) đã mất 1,58 triệu USD hôm nay trong một vụ khai thác lạm quyền (governance) khiến rút sạch một pool Balancer V1, các công ty an ninh blockchain cho biết. Kẻ tấn công đã giành được hơn 50% quyền bỏ phiếu $TOP nhờ nguồn cung token giới hạn ở 16.384 đơn vị, sau đó đúc 10 tỷ token mới trong một đề xuất độc hại duy nhất được thực thi thông qua thiết lập Aragon DAO. Vụ khai thác này nối tiếp một chuỗi các cuộc tấn công governance nhắm vào các dự án DeFi vốn hóa thấp trong năm 2026, nơi thanh khoản tối thiểu và các tham số lỏng lẻo khiến việc thâu tóm trở nên rẻ.

Kẻ tấn công đã đúc 10 tỷ token thông qua đề xuất Aragon DAO

Một địa chỉ được cấp vốn qua Tornado Cash đã giành hơn 50% quyền bỏ phiếu $TOP , nắm giữ hơn một nửa tổng cung TOP là 16.384. Dùng thiết lập Aragon DAO với MiniMeToken, kẻ tấn công đã tạo, bỏ phiếu và thực thi một đề xuất độc hại trong đúng một giao dịch. Điều này khiến TokenManager đúc 10 tỷ TOP trực tiếp vào hợp đồng của kẻ tấn công. Sau đó, các token mới được tạo ra được đổi lấy 944,2 WETH (xấp xỉ 1,585 triệu USD) trong pool TOP/WETH Balancer V1, làm cạn kiệt thanh khoản. Số tiền bị đánh cắp được chuyển trở lại qua Tornado Cash. Không có khoản lỗ nào xảy ra đối với giao thức cốt lõi của Balancer.

BlockSec Phalcon thúc giục rà soát các hệ thống governance tương tự

BlockSec Phalcon đã nêu chi tiết cơ chế và đưa ra cảnh báo: “Các dự án sử dụng các triển khai governance Lido/Aragon tương tự nên rà soát kỹ lưỡng cách phân bổ quyền bỏ phiếu, ngưỡng quorum/đạt-phê duyệt (pass), quyền đúc token (mint permissions) và các biện pháp bảo vệ governance liên quan.” Cyvers Alerts cũng cho biết giao dịch đáng ngờ liên quan đến địa chỉ được cấp vốn từ Tornado Cash, đã thực thi giao dịch độc hại rút quỹ khỏi pool Balancer V1 TOP/WETH.

Vụ khai thác làm nổi bật rủi ro đang diễn ra trong governance DeFi vốn hóa thấp

Vụ khai thác này tiếp nối mô hình các cuộc tấn công governance nhắm vào các dự án DeFi nhỏ hơn trong năm 2026, nơi thanh khoản thấp và các tham số lỏng lẻo khiến việc thâu tóm trở nên dễ dàng. Dù các giao thức lớn đã tăng cường phòng thủ bằng timelock và quorum cao hơn, nhiều token mới nổi vẫn đang bị phơi bày. Nhà đầu tư nắm token vốn hóa thấp và nhà cung cấp thanh khoản nên kiểm tra các tham số governance, theo dõi các đợt tích lũy token quy mô lớn và tránh các pool chưa được thẩm định. Các dự án trên các stack tương tự nhiều khả năng sẽ đối mặt với sự giám sát chặt hơn và các lời kêu gọi nâng cấp.

Câu hỏi thường gặp

Kẻ tấn công đã giành quyền kiểm soát governance của Token of Power như thế nào?
Kẻ tấn công đã cấp vốn cho một địa chỉ thông qua Tornado Cash và giành được hơn 50% quyền bỏ phiếu $TOP do token có nguồn cung giới hạn ở 16.384 đơn vị. Dùng thiết lập Aragon DAO với MiniMeToken, họ đã tạo, bỏ phiếu và thực thi một đề xuất độc hại trong đúng một giao dịch, kích hoạt TokenManager đúc 10 tỷ token TOP trực tiếp vào hợp đồng của họ.

Điều gì đã xảy ra với số tiền bị đánh cắp từ vụ khai thác Token of Power?
Kẻ tấn công đã đổi 10 tỷ token TOP mới được đúc lấy 944,2 WETH (xấp xỉ 1,585 triệu USD) trong pool Balancer V1 TOP/WETH, sau đó chuyển số tiền bị đánh cắp trở lại qua Tornado Cash. Không có khoản lỗ nào xảy ra đối với giao thức cốt lõi của Balancer.