Conforme informou a Cryptopolitan em 10 de junho, um atacante anônimo teria concluído a criação, a votação e a execução de uma proposta de governança em uma única transação, acumulando mais de 50% do supply circulante por meio do token Token of Power (TOP). Em seguida, após cunhar uma grande quantidade de novos tokens, o atacante teria esvaziado a pool de liquidez Balancer V1 na rede Ethereum e extraído 944,2 WETH (aproximadamente US$ 1,58 milhão).
Mecanismo do ataque: como 8.192 TOP concluíram a tomada de governança em uma única transação
O supply total do token TOP é de 16.384 tokens. De acordo com a análise on-chain da Blockaid, o atacante acumulou 8.192,000001 TOP, ultrapassando exatamente o limite de 50%, o que lhe concedeu poder de voto para aprovar a proposta de forma unilateral. Como o aplicativo Aragon Voting não possui time lock, o atacante concluiu três etapas em uma única transação via um contrato dedicado:
Criação da proposta de governança: exigia a cunhagem de uma grande quantidade de novos tokens TOP no endereço do atacante
Aprovação na votação: com mais de 50% do poder de voto, aprovou a proposta de forma unilateral
Execução imediata e esvaziamento da pool de liquidez: os tokens TOP recém-cunhados foram convertidos em 944,2 WETH no Balancer V1 BPool
A BlockSec Phalcon confirmou o processo de execução da proposta e da cunhagem dos tokens. A própria Balancer não apresentou falhas; o atacante apenas utilizou a pool de liquidez para converter tokens TOP com o supply artificialmente ampliado em WETH.
Caminho dos fundos: recarga no Tornado Cash e cenário de rastreamento on-chain
De acordo com a análise on-chain da Blockaid, a fonte inicial de fundos do wallet do atacante foi o Tornado Cash. O ataque teria sido realizado via um contrato dedicado, em uma única transação. Até a data do relato em 10 de junho de 2026, 944,2 WETH ainda podem ser rastreados on-chain, mas o aumento da dificuldade para recuperar os fundos e confirmar a identidade do atacante ocorreu devido ao fato de que a fonte inicial no Tornado Cash teve alterações.
Causa raiz: falha nas configurações de governança, e não um bug do código do contrato inteligente
A causa raiz do incidente foi a ausência de configurações na camada de governança, e não um erro tradicional no código do contrato inteligente — todas as funções dos contratos teriam sido executadas conforme o desenho. As configurações específicas ausentes incluem:
Sem time lock: após a aprovação da proposta, não há período de espera, impedindo que outros detentores reajam
Ausência de atraso por quórum: não exige uma participação mínima de detentores de tokens na votação
Sem atraso para criação de proposta: a proposta pode ir de criada a executada no mesmo bloco
O supply total do TOP é apenas de 16.384 tokens, tornando o custo para obter o controle da maioria extremamente baixo. A documentação oficial do Aragon explica claramente que permissões para operações sensíveis, como cunhagem de tokens, devem ser limitadas a endereços autorizados, mas a configuração do TOP não teria aplicado essa exigência.
Situação até o momento da publicação: ausência de declarações, fundos ainda on-chain
A reportagem da Cryptopolitan confirmou que, em 10 de junho de 2026: a equipe de Token of Power não publicou nenhuma declaração sobre esta vulnerabilidade; a Aragon também não publicou nenhuma declaração; e 944,2 WETH ainda podem ser rastreados on-chain.
Perguntas frequentes
Por que este ataque foi classificado como “falha de governança” e não como “falha de contrato inteligente”?
Vulnerabilidades tradicionais de contratos inteligentes ocorrem quando o atacante explora falhas no código para contornar a lógica esperada. Neste caso, todas as funções dos contratos foram executadas conforme o design — a votação de governança funcionou normalmente, e a cunhagem de tokens seguiu as permissões de configuração do DAO. A vulnerabilidade está em como a configuração do DAO do TOP permite que um único detentor controle completamente o processo de governança sem qualquer atraso de tempo, sendo uma falha de configuração, e não de código.
O protocolo Balancer precisa assumir responsabilidade?
Com base nas análises da Blockaid e da BlockSec Phalcon, a confirmação é de que o protocolo Balancer em si não possui nenhuma vulnerabilidade. O atacante usou a funcionalidade normal de troca de tokens para converter tokens TOP, cujo supply foi artificialmente ampliado, em WETH. O Balancer, como ferramenta de pool de liquidez, foi utilizado, mas não era o alvo do ataque nem a origem da falha.
Quais configurações de governança podem evitar ataques como este?
Com base na documentação oficial do Aragon e na análise on-chain deste incidente, estas três configurações podem impedir ataques semelhantes: time lock (definir um período de espera entre a aprovação da proposta e sua execução); quórum (exigir a participação mínima de uma proporção de detentores na votação); atraso da proposta (após a criação, permitir votação apenas depois de um período). Até a data do relato em 10 de junho de 2026, o TOP não implementou nenhuma dessas configurações.
