Utnyttelse av Token of Power
Token of Power ble utsatt for en utnyttelse på tirsdag som tappet mer enn $1,5 millioner fra sin likviditetspool. On-chain-firmaene Blockaid, PeckShield og Cyvers varslet om hendelsen i innlegg på X.
Detaljer om Angrepet
Angrepet målrettet TOP/WETH Balancer V1 Pool og tappet 944,2 WETH. Token of Power, også kjent som TOP, er en Ethereum-basert ERC-20-token som opererer under en DAO kalt The Mask of Power. Prosjektet ble utviklet rundt kollektivt eierskap av en spesifikk MetaMask NFT og støttet også likviditet for prosjektets markedsaktiviteter.
Cyvers rapporterte at angriperen tappet midler fra TOP/WETH Balancer V1 Pool, som holdt TOP-tokens og Wrapped Ethereum (WETH) i en 50-50-struktur. Wrapped Ethereum representerer ETH i et tokenformat som brukes på tvers av DeFi. Balancer V1-poolen fungerte som et automatisert handelsdepot for begge eiendeler.
Blockaid beskrev hendelsen som et «governance takeover attack» i sitt innlegg på X.
Konsekvenser av Utnyttelsen
PeckShield og Cyvers publiserte også varsler ettersom transaksjonsaktiviteten ble synlig on-chain. Ifølge on-chain etterretningsfirmaer la angriperen til et stort antall TOP-tokens i poolen, før de byttet disse tokenene mot poolens reelle WETH-reserver. Utnyttelsen resulterte i tap av 944,2 WETH, verdt omtrent $1,58 millioner på det tidspunktet.
Angriperen deponerte 945,1 ETH i #TornadoCash. Etter tapet holdt poolen sterkt utvannede TOP-tokens, noe som etterlot likviditetsleverandører eksponert for tokens med liten markedsverdi. Ytterligere prosjektopplysninger om gjenoppretting, kompensasjon eller neste steg er fortsatt utilgjengelige.
PeckShield-data viste at angriperen senere flyttet de stjålne midlene til Tornado Cash, en kryptomikser som kan gjøre sporing av midler vanskeligere. Bevegelsen til Tornado Cash fulgte det innledende tapet fra Balancer-poolen.
Relaterte Hendelser
Sikkerhetsfirmaer har ennå ikke publisert en fullstendig teknisk rapport om hendelsen. Utnyttelsen av Token of Power kom en dag etter en annen rapportert DeFi-sikkerhetsbrudd. Som rapportert av crypto.news, tapte Humanity Protocol $36 millioner i brukerfond gjennom et brudd på en ansatts bærbare datamaskin.
De to hendelsene påvirket forskjellige prosjekter og benyttet seg av ulike angrepsveier, men begge tilfeller har tiltrukket seg oppmerksomhet fra blockchain-sikkerhetsfirmaer denne uken. Humanity Protocol-bruddet involverte et digitalt identitetsprosjekt bygget på blockchain-infrastruktur, mens Token of Power-utnyttelsen var sentrert rundt en likviditetspool.
TOP-prosjektet har ennå ikke utgitt en fullstendig hendelsesgjennomgang med de oppgitte detaljene. Mer informasjon om angriperens rute og mulig prosjektrespons er fortsatt ventende. Blockaid, PeckShield og Cyvers fortsetter å være de viktigste kildene som er sitert for hendelsen, og deres varsler identifiserte den berørte poolen, det estimerte tapet og bevegelsen av midler.
