根據 TRM Labs,Power 協議的代幣(Token of Power)在一次治理接管中遭到利用,流失了約 158 萬美元的 WETH。攻擊者利用了該協議在 Aragon DAO 設定中缺少 timelock 的情況,使得惡意的治理行動能夠在單一區塊鏈區塊內被提出、表決並執行。
攻擊者使用來自 Tornado Cash 的 ETH 為此次作業提供資金,在 TOP 代幣中取得多數投票權,鑄造了 100 億個新的 TOP 代幣,並透過 Balancer 池將其兌換為 WETH,然後再將被竊資金透過 Tornado Cash 轉回。TRM Labs 澄清,Tornado Cash 本身並未遭到駭入,但在此次利用中被用作資金提供與路由機制。
