Токен Power теряет $1,58 млн из-за уязвимости в управлении, выводящей средства из пула Balancer

Токен Power ($TOP) потерял $1,58 миллиона сегодня в ходе эксплойта по управлению, который осушил пул Balancer V1, сообщили фирмы по безопасности блокчейна. Злоумышленник получил более 50% $TOP вoting power из‑за ограниченного предложения токена в 16 384 единицы, затем в одном вредоносном предложении отчеканил 10 миллиардов новых токенов, выполнив его через настройку Aragon DAO. Эксплойт дополняет схему атак на управление в 2026 году на проекты DeFi с низкой капитализацией, где минимальная ликвидность и послабления параметров делают захват более доступным.

Злоумышленник отчеканил 10 миллиардов токенов через предложение Aragon DAO

Адрес, профинансированный через Tornado Cash, получил более 50% $TOP вoting power, удерживая свыше половины от общего предложения TOP в 16 384. Используя настройку Aragon DAO с MiniMeToken, злоумышленник создал, проголосовал и выполнил вредоносное предложение в рамках одной транзакции. Это сработало, и TokenManager отчеканил 10 миллиардов TOP напрямую на контракт злоумышленника. Затем вновь созданные токены были обменены на 944,2 WETH (примерно $1,585 миллиона) в пуле TOP/WETH Balancer V1, что истощило его ликвидность. Украденные средства были отправлены обратно через Tornado Cash. Потерь в базовом протоколе Balancer не произошло.

BlockSec Phalcon призвал провести проверки похожих систем управления

BlockSec Phalcon подробно описал механику и выдал предупреждение: «Проекты, использующие аналогичные реализации управления Lido/Aragon, должны тщательно проверить распределение voting power, пороги кворума/прохода, разрешения на минт и связанные защитные меры в управлении». Cyvers Alerts также сообщила о подозрительной транзакции с адресом, профинансированным через Tornado Cash, который выполнил вредоносную транзакцию, выведя средства из пула TOP/WETH Balancer V1.

Эксплойт подчеркивает сохраняющиеся риски управления в DeFi с низкой капитализацией

Этот эксплойт дополняет характерную для 2026 года схему атак на управление в небольших проектах DeFi, где низкая ликвидность и мягкие параметры делают захват осуществимым. Хотя крупные протоколы усилили защиту с timelock'ами и более высокими кворумами, многие токены на стадии развития остаются уязвимыми. Инвесторам в токены с низкой капитализацией и поставщикам ликвидности следует проверять параметры управления, отслеживать крупные накопления токенов и избегать непроверенных пулов. Проекты на похожих стэках, вероятно, столкнутся с повышенным вниманием и призывами к обновлениям.

FAQ

Как злоумышленник получил контроль над управлением Token of Power?
Злоумышленник профинансировал адрес через Tornado Cash и получил более 50% $TOP voting power из‑за ограниченного предложения токена в 16 384 единицы. Используя настройку Aragon DAO с MiniMeToken, он создал, проголосовал и выполнил вредоносное предложение в рамках одной транзакции, что запустило TokenManager и привело к отчеканиванию 10 миллиардов токенов TOP напрямую на его контракт.

Что произошло с украденными средствами из эксплойта Token of Power?
Злоумышленник обменял вновь отчеканенные 10 миллиардов токенов TOP на 944,2 WETH (примерно $1,585 миллиона) в пуле TOP/WETH Balancer V1, а затем провел украденные средства обратно через Tornado Cash. Потерь в базовом протоколе Balancer не произошло.