Token of Power Udnyttelse
Token of Power led et udnyttelse tirsdag, der drænede mere end $1,5 millioner fra sin likviditetspool. On-chain firmaerne Blockaid, PeckShield og Cyvers flagede hændelsen i indlæg på X.
Angrebet
Angrebet målrettede TOP/WETH Balancer V1 Pool og drænede 944,2 WETH. Token of Power, også kendt som TOP, er en Ethereum-baseret ERC-20 token, der opererer under en DAO kaldet The Mask of Power. TOP er bygget omkring kollektivt ejerskab af en specifik MetaMask NFT, og dets token støttede også likviditet til projektets markedsaktivitet.
Cyvers oplyste, at angriberen drænede midler fra TOP/WETH Balancer V1 Pool, som indeholdt TOP tokens og Wrapped Ethereum i en 50-50 struktur. Wrapped Ethereum, eller WETH, repræsenterer ETH i et tokenformat, der bruges på tværs af DeFi. Balancer V1-poolen fungerede som et automatiseret handelsvault for begge aktiver.
Blockaid beskrev hændelsen som et “governance-takeover angreb” i sit indlæg på X.
Konsekvenser
PeckShield og Cyvers offentliggjorde også advarsler, da transaktionsaktiviteten blev synlig on-chain. On-chain efterretningsfirmaer rapporterede, at angriberen tilføjede et stort antal TOP tokens til poolen og derefter byttede disse tokens mod poolens reelle WETH-reserver. Udnyttelsen resulterede i, at 944,2 WETH blev drænet, hvilket var værd omkring $1,58 millioner på det tidspunkt.
Efter drænet indeholdt poolen stærkt fortyndede TOP tokens, hvilket efterlod likviditetsudbydere med tokens, der havde lidt markedsværdi. Yderligere oplysninger om genopretning, kompensation eller næste skridt fra projektet er ikke tilgængelige.
Angriberens Rute
PeckShield-data viste, at angriberen senere flyttede de stjålne midler til Tornado Cash, en kryptomixer, der kan gøre det sværere at spore midler. Bevægelsen til Tornado Cash fulgte efter det indledende dræn fra Balancer-poolen. Sikkerhedsfirmaer har endnu ikke offentliggjort en fuld teknisk rapport om hændelsen.
Relaterede Hændelser
Token of Power-hændelsen kom en dag efter en anden rapporteret DeFi-sikkerhedsbrud. Som rapporteret af crypto.news mistede Humanity Protocol $36 millioner i brugerens midler gennem et brud på en medarbejders bærbare computer. De to hændelser påvirkede forskellige projekter og anvendte forskellige rapporterede angrebsveje, men begge tiltrak opmærksomhed fra blockchain-sikkerhedsfirmaer denne uge.
Humanity Protocol-bruddet involverede et digitalt identitetsprojekt bygget på blockchain-infrastruktur, mens Token of Power-udnyttelsen centrerede sig om en likviditetspool. TOP-projektet har endnu ikke offentliggjort en fuld hændelsesgennemgang med de angivne detaljer. Flere oplysninger om angriberens rute og mulig projektrespons er stadig ventende.
Blockaid, PeckShield og Cyvers fortsætter med at være de primære citerede kilder til hændelsen, og deres advarsler identificerede den berørte pool, det estimerede tab og bevægelsen af midler.
