Захват DAO: 10 млрд токенов TOP и $1,58 млн из Balancer
Governance-атаки становятся равнозначной угрозой наряду с эксплойтами смарт-контрактов — и зачастую сложнее поддаются обнаружению до момента исполнения. ---
Злоумышленник воспользовался уязвимостью в конфигурации Aragon DAO проекта Token of Power и захватил контроль над управлением протокола. Это позволило ему выпустить 10 миллиардов токенов TOP и обменять часть из них на 944,2 WETH — около $1,58 млн. Атаку идентифицировала компания Blockaid, классифицировав её как governance-takeover. ---
Что произошло
Во вторник атакующий эксплуатировал misconfiguration в Aragon DAO проекта Token of Power. Получив контроль над governance-механизмом, он смог самостоятельно выпустить 10 миллиардов токенов TOP — сумму, несопоставимую с реальной эмиссией проекта.
Далее злоумышленник обменял небольшую долю от этих токенов через пул Balancer, получив 944,2 WETH на сумму около $1,58 млн. Остаток токенов фактически обесценился сразу после инцидента — рынок не мог поглотить такой объём без коллапса цены.
Компания Blockaid, специализирующаяся на безопасности Web3, подтвердила инцидент и явно отделила этот вектор атаки от классических флэш-лоан-атак или эксплойтов смарт-контрактов: здесь была скомпрометирована именно система управления.
Что отслеживать
- Ближайшие часы: реакция команды Token of Power — заморожен ли контракт, есть ли официальное заявление.
- Ближайшие дни: аудит governance-конфигураций других проектов на Aragon; возможные превентивные меры от самой платформы.
- Для держателей TOP: ситуация с ликвидностью в пулах и структура предложения токена после эмиссионного удара.
- Для разработчиков: стоит проверить права на mint-функции и пороги принятия решений в собственных DAO-конфигурациях.
Источник: https://thedefiant.io/news/hacks/attacker-mints-10-billion-top-tokens-governance-takeover-drains-1-58m-balancer
Злоумышленник эксплуатировал уязвимость в конфигурации governance смарт-контракта Aragon DAO проекта Token of Power (TOP). Атакующий запустил атаку на takeover управления, выпустив 10 млрд TOP токенов и своп части этого количества на 944.2 WETH стоимостью ~$1.58 млн, что привело к дренажу ликвидности из пула Balancer.
Governance — новая attack surface. Большинство аудитов сосредоточены на смарт-контрактах, но некорректная конфигурация DAO-механизмов открывает столь же критические векторы.
Aragon используют сотни протоколов. Инцидент ставит под вопрос, насколько тщательно другие проекты на этой платформе проверяют свои governance-настройки.
Balancer Pool не остановил вывод. Протокол работал штатно — ликвидность была слита через легитимный своп, а не через технический баг пула.
$1,58 млн — только выведенная сумма. Полный ущерб для держателей TOP включает также обесценивание их позиций на фоне инфляции предложения.
--
Практический разбор рынка без шума. Делюсь тем, что торгую сам, объясняю логику и помогаю понимать контекст.
