Token of Power Exploitation
Token of Power drabbades av en exploatering på tisdagen som ledde till att mer än 1,5 miljoner dollar tömdes från sin likviditetspool. On-chain-företagen Blockaid, PeckShield och Cyvers flaggade för incidenten i inlägg på X.
Incidentens Detaljer
Attacken riktade sig mot TOP/WETH Balancer V1 Pool och resulterade i att 944,2 WETH stals. Token of Power, även känd som TOP, är en Ethereum-baserad ERC-20-token som verkar under en DAO kallad The Mask of Power. Projektet har byggt TOP kring kollektivt ägande av en specifik MetaMask NFT, och dess token stödjer även likviditet för projektets marknadsaktiviteter.
Cyvers rapporterade att angriparen tömde medel från TOP/WETH Balancer V1 Pool, som innehöll TOP-tokens och Wrapped Ethereum (WETH) i en 50-50-struktur. Wrapped Ethereum representerar ETH i ett tokenformat som används inom DeFi. Balancer V1-poolen fungerade som ett automatiserat handelsvalv för båda tillgångarna.
Blockaid beskrev incidenten som en ”governance-takeover attack” i sitt inlägg på X.
PeckShield och Cyvers publicerade också varningar när transaktionsaktiviteten blev synlig på-chain. Enligt on-chain-intelligensföretag lade angriparen till ett stort antal TOP-tokens i poolen och bytte sedan dessa tokens mot poolens verkliga WETH-reserver. Exploateringen resulterade i att 944,2 WETH, värt cirka 1,58 miljoner dollar vid tidpunkten, stals.
Konsekvenser och Åtgärder
Efter tömningen innehöll poolen kraftigt utspädda TOP-tokens, vilket lämnade likviditetsleverantörer exponerade för tokens med lågt marknadsvärde. Ytterligare information om återhämtning, kompensation eller nästa steg är fortfarande otillgänglig. PeckShield-data visade att angriparen senare flyttade de stulna medlen till Tornado Cash, en kryptomixer som gör det svårare att spåra medel. Rörelsen till Tornado Cash följde den initiala tömningen från Balancer-poolen.
Säkerhetsföretag har ännu inte publicerat en fullständig teknisk rapport om incidenten. Token of Power-incidenten inträffade en dag efter en annan rapporterad DeFi-säkerhetsöverträdelse. Som rapporterats av crypto.news förlorade Humanity Protocol 36 miljoner dollar i användarmedel genom en anställds bärbara dator.
De två incidenterna påverkade olika projekt och använde olika angreppsvägar, men båda fallen har fått uppmärksamhet från blockchain-säkerhetsföretag denna vecka. Humanity Protocol-överträdelsen involverade ett digitalt identitetsprojekt byggt på blockchain-infrastruktur, medan Token of Power-exploateringen centrerade kring en likviditetspool.
TOP-projektet har ännu inte släppt en fullständig incidentöversyn. Mer information om angriparens rutt och möjliga projektrespons är fortfarande under utredning. Blockaid, PeckShield och Cyvers fortsätter att vara de huvudsakliga källorna för information om incidenten, och deras varningar har identifierat den påverkade poolen, den uppskattade förlusten och medelrörelsen.
