Power 代幣($TOP)今天在一樁治理漏洞中損失 $1.58 million(約 158.5 萬美元);該漏洞耗盡了一個 Balancer V1 池,區塊鏈安全公司如是報告。由於該代幣的流通供給量有限、僅 16,384 個,攻擊者取得了超過 50% 的 $TOP 投票權,接著在一項惡意提案中於單一交易內鑄造了 100 億個新代幣;該提案是透過 Aragon DAO 設置執行。此漏洞也延續了 2026 年針對低市值 DeFi 專案的治理攻擊模式;在那裡,流動性極低且參數寬鬆,使得接管變得負擔得起。
Attacker Minted 10 Billion Tokens Through Aragon DAO Proposal
一個透過 Tornado Cash 資助的地址取得了超過 50% 的 $TOP 投票權,持有超過全部 16,384 個 TOP 供給量的一半。攻擊者使用帶有 MiniMeToken 的 Aragon DAO 設置,在單一交易中建立、投票並執行惡意提案。這觸發 TokenManager 直接向攻擊者合約鑄造 100 億個 TOP。隨後,新鑄造的代幣在 TOP/WETH 的 Balancer V1 池中換得 944.2 WETH(約 158.5 萬美元),耗盡了該池的流動性。遭竊資金隨後透過 Tornado Cash 被導回。Balancer 核心協定沒有發生損失。
BlockSec Phalcon Urged Reviews of Similar Governance Systems
BlockSec Phalcon 詳述了作案機制並發出警告:「使用類似 Lido/Aragon 治理實作的專案,應仔細檢視其投票權分配、法定人數/通過門檻、鑄幣權限,以及相關治理防護措施。」Cyvers Alerts 也同樣報告了一筆可疑交易:涉及該由 Tornado Cash 資助的地址,該地址執行了惡意交易,從 TOP/WETH Balancer V1 池抽走資金。
Exploit Highlights Ongoing Risks in Low-Cap DeFi Governance
此漏洞延續了 2026 年針對較小型 DeFi 專案的治理攻擊模式;由於流動性不足且參數寬鬆,接管成本相對低廉。雖然主要協定已透過延遲執行(timelock)與更高的法定人數強化防禦,但許多新興代幣仍面臨暴露風險。低市值代幣的投資者與流動性提供者應核對治理參數、監測大型代幣累積情形,並避免未經審查的池。採用類似堆疊的專案,可能會面臨更高的審查以及要求升級的呼聲。
FAQ
How did the attacker take control of Token of Power governance?
攻擊者透過 Tornado Cash 資助某個地址,因該代幣的有限供給(16,384 個)取得了超過 50% 的 $TOP 投票權。使用帶有 MiniMeToken 的 Aragon DAO 設置,他們在單一交易中建立、投票並執行惡意提案,從而觸發 TokenManager 將 100 億個 TOP 代幣直接鑄造到其合約中。
What happened to the stolen funds from the Token of Power exploit?
攻擊者將新鑄造的 100 億個 TOP 代幣在 TOP/WETH 的 Balancer V1 池中換成 944.2 WETH(約 158.5 萬美元),接著透過 Tornado Cash 將遭竊資金路由回去。Balancer 核心協定沒有發生損失。
