Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, Mastercard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Stocks
CFD
Produits dérivés CFD sur actions américaines
US Stocks
Accédez à de véritables actions et ETF américains
HK Stocks
Tradez des actions des actions de qualité cotées à Hong Kong
Futures sur actions
Effet de levier élevé, trading 24h/24 et 7j/7
Actions tokenisées
Adossé à de véritables actions
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
GUSD
Mint GUSD pour des rendements de Treasury RWA
Activités boursières
Tradez des actions populaires et débloquez des airdrops généreux
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
2026 World Cup
Récompenses

Le token Token of Power perd 1,58 million de dollars dans un exploit de gouvernance via le DAO Aragon

EthanBrooks
Incidents de sécuritéProgression du projet
TOKEN1,12%
POWER-4,34%
ETH2,28%

Le protocole Token of Power a été exploité pour environ 1,58 million de dollars en WETH via une prise de contrôle de la gouvernance, selon la société d’intelligence blockchain TRM Labs. L’attaquant a exploité une faiblesse dans la configuration Aragon DAO du protocole : l’absence de timelock, permettant de proposer, voter et exécuter une action de gouvernance malveillante dans un seul bloc. L’exploit met en évidence comment les paramètres de conception de la gouvernance peuvent devenir des vulnérabilités de sécurité directes dans les protocoles DeFi lorsque le pouvoir de vote peut être acquis et exécuté rapidement, sans mécanismes de délai.

Attacker Exploited Aragon DAO Governance Without Timelock

D’après l’analyse de TRM Labs, l’attaquant a financé l’opération avec 662 ETH retirés de Tornado Cash. L’attaquant a ensuite acheté suffisamment de jetons TOP pour obtenir une majorité du pouvoir de vote dans le système de gouvernance du protocole. Une fois le contrôle du vote obtenu, l’attaquant a frappé 10 milliards de nouveaux jetons TOP et les a échangés contre du WETH via un pool Balancer. Les fonds volés ont ensuite été acheminés à nouveau via Tornado Cash.

L’attaque a réussi parce que la gouvernance Aragon DAO de Token of Power ne disposait pas d’un mécanisme de timelock. Cette absence a permis à l’attaquant de proposer, voter et exécuter l’action de gouvernance malveillante dans un seul bloc, sans laisser de possibilité aux défenseurs du protocole ou aux utilisateurs d’intervenir.

Tornado Cash Used for Funding and Routing, Not Itself Compromised

Le rapport de TRM Labs précise que Tornado Cash a servi d’outil pour financer l’attaque et router les actifs volés. Tornado Cash lui-même n’a pas été piraté ni exploité dans cet incident. Le mixeur a été utilisé par l’attaquant pour masquer l’origine des 662 ETH initiaux et blanchir le WETH volé après l’exécution de l’exploit de gouvernance.

Governance Design Flaws Create Security Vulnerabilities

Les timelocks sont des mécanismes de gouvernance conçus pour introduire des délais obligatoires entre l’approbation d’une proposition et son exécution. Ces délais donnent aux utilisateurs du protocole, aux développeurs et aux équipes de sécurité le temps de détecter et de répondre aux propositions malveillantes avant qu’elles ne deviennent irréversibles.

Sans timelock, un acteur hostile qui acquiert suffisamment de pouvoir de vote peut exécuter immédiatement des changements de gouvernance qui drainent les fonds de trésorerie, frappent des jetons ou modifient les paramètres du protocole. L’exploit de Token of Power montre comment les configurations de gouvernance peuvent fonctionner comme des surfaces d’attaque lorsque des garde-fous appropriés font défaut.

Le rapport de sécurité on-chain de TRM Labs fournit les détails techniques de l’exploit. Le rapport est disponible via les ressources officielles de TRM Labs.

FAQ

What happened in the Token of Power exploit?

Le protocole Token of Power a été exploité pour environ 1,58 million de dollars en WETH via une prise de contrôle de la gouvernance. L’attaquant a exploité l’absence de timelock dans la configuration Aragon DAO du protocole, lui permettant de proposer, voter et exécuter une action malveillante en un seul bloc après avoir acquis la majorité du pouvoir de vote grâce à des jetons TOP achetés.

How did the attacker fund and execute the Token of Power governance exploit?

L’attaquant a retiré 662 ETH de Tornado Cash, a acheté suffisamment de jetons TOP pour contrôler le vote de la gouvernance, a frappé 10 milliards de nouveaux jetons TOP, les a échangés contre du WETH via un pool Balancer, puis a routé les fonds volés à nouveau via Tornado Cash. TRM Labs précise que Tornado Cash a été utilisé comme outil pour financer et blanchir, mais n’a pas été compromis en lui-même.

Why do timelocks matter in DeFi governance?

Les timelocks introduisent des délais obligatoires entre l’approbation d’une proposition de gouvernance et son exécution, donnant aux utilisateurs et aux équipes de sécurité le temps de détecter et de répondre aux propositions malveillantes. Sans timelocks, les attaquants qui acquièrent un pouvoir de vote peuvent exécuter immédiatement des changements qui drainent des fonds ou modifient les paramètres du protocole avant que quiconque puisse intervenir, comme le démontre l’exploit de Token of Power.

Afficher la source
Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.

Actualités associées

Il y a 6h
L’exploit du token de gouvernance Token of Power vide 1,58 million de WETH, selon TRM Labs
Il y a 13h
Contrat du routeur Aztec ciblé : 2,19 millions de dollars en transferts suspects le 14 juin
06-14 01:29
H Token bondit de près de 40 % en 24 heures, en hausse de 466 % par rapport au creux après le hack
Articles similaires

Le prix du Humanity Protocol fait face à une crise de liquidité après une attaque

Crypto News LandIl y a 7h

Le prix de Humanity Protocol fait face à une crise de liquidité après un piratage

Crypto News LandIl y a 7h

Le portefeuille à l’origine de l’arnaque convertit des jetons volés en 18 510 ETH et 1 548 BNB

Ethan Brooks06-13 18:48

La Fondation Arbitrum cherche 16 millions de dollars, 1 700 ETH et 230 millions d’ARB dans une proposition de financement

Crypto Frontier06-13 10:38
Commentaire
0/400
Aucun commentaire