关键要点:
- 攻击者夺取了 Token of Power 的 Aragon DAO 治理控制权。
- 他们铸造了 100 亿枚 TOP 代币,并从 Balancer V1 池中盗取了 944.2 枚 WETH。
- BlockSec Phalcon 警告项目方立即审查治理安全措施。
返回
Token of Power 因 Aragon DAO 治理漏洞损失 158 万美元
一名攻击者利用了 Token of Power 的 Aragon DAO 治理配置漏洞,于 6 月 9 日从 Balancer V1 池中盗走了 158 万美元。
"使用类似 Lido/Aragon 治理实现的项目应仔细审查其投票权分配、法定人数与通过门槛、铸币权限以及相关的治理安全措施,"BlockSec Phalcon 在一份事后分析报告中表示。
该攻击者通过 Tornado Cash 获得资金,收购了 TOP 代币总供应量 16,384 枚中的 50% 以上。在一笔交易中,他们创建、投票并执行了一项恶意提案,触发 TokenManager 直接向其合约铸造了 100 亿枚 TOP 代币。新铸造的代币在以太坊上的 TOP/WETH Balancer V1 池中被兑换为 944.2 枚 WETH,耗尽该池流动性。被盗资金被重新路由回 Tornado Cash,加大了追回难度。Balancer 核心协议未遭受损失。
此次攻击是 2026 年小型 DeFi 项目治理攻击模式中的又一例证——流动性低、参数宽松使得接管成本低廉。尽管主流协议已通过时间锁和更高的法定人数要求加强了防御,但许多基于 Aragon 及类似堆栈的新兴代币仍然暴露在风险之下,这可能会引发安全公司更严格的审查以及治理升级的呼声。
BlockSec Phalcon 的警告不仅限于 TOP。任何使用带有 MiniMeToken 且供应分布较低的 Aragon DAO 的项目都面临类似风险。此次攻击无需利用代码漏洞——仅仅是一个治理参数允许单一实体在没有时间锁或法定人数保护的情况下持有多数投票权。对于低市值 DeFi 代币的投资者而言,这一事件凸显了在提供流动性之前核实治理参数并监控大额代币积累的重要性。
本文仅供信息参考,不构成投资建议。
