El token Token of Power pierde 1,58 millones de USD en un exploit de gobernanza que drena el pool de Balancer

El Token of Power ($TOP) perdió 1,58 millón de dólares hoy en un exploit de gobernanza que drenó un pool Balancer V1, según informaron firmas de seguridad de blockchain. El atacante adquirió más del 50% del poder de voto de $TOP gracias al suministro limitado del token de 16.384 unidades, luego emitió 10 mil millones de tokens nuevos en una sola propuesta maliciosa ejecutada mediante una configuración de Aragon DAO. El exploit se suma a un patrón de ataques de gobernanza contra proyectos DeFi de baja capitalización en 2026, donde la liquidez mínima y parámetros laxos hacen que las tomas de control sean asequibles.

El atacante emitió 10 mil millones de tokens mediante una propuesta de Aragon DAO

Una dirección financiada a través de Tornado Cash adquirió más del 50% del poder de voto de $TOP , al mantener más de la mitad del suministro total de 16.384 TOP. Usando una configuración de Aragon DAO con MiniMeToken, el atacante creó, votó y ejecutó una propuesta maliciosa en una sola transacción. Esto activó al TokenManager para acuñar 10 mil millones de TOP directamente al contrato del atacante. Luego, los tokens recién creados se intercambiaron por 944,2 WETH (aproximadamente 1,585 millón de dólares) en el pool Balancer V1 TOP/WETH, agotando su liquidez. Los fondos robados se enroutaron de vuelta a través de Tornado Cash. No hubo pérdidas para el protocolo central de Balancer.

BlockSec Phalcon pidió revisiones de sistemas de gobernanza similares

BlockSec Phalcon detalló la mecánica y emitió una advertencia: "Los proyectos que usen implementaciones de gobernanza similares de Lido/Aragon deberían revisar cuidadosamente la distribución del poder de voto, los umbrales de quórum/aprobación, los permisos de acuñación y las salvaguardas relacionadas de gobernanza". Cyvers Alerts también reportó la transacción sospechosa que involucró a la dirección financiada con Tornado Cash que ejecutó la transacción maliciosa drenando fondos del pool Balancer V1 TOP/WETH.

El exploit resalta los riesgos en la gobernanza DeFi de baja capitalización

Este exploit se suma al patrón de ataques de gobernanza contra proyectos DeFi más pequeños en 2026, donde la baja liquidez y los parámetros laxos hacen que las tomas de control sean asequibles. Aunque los protocolos principales han reforzado defensas con timelocks y quórums más altos, muchos tokens emergentes siguen expuestos. Los inversores en tokens de baja capitalización y los proveedores de liquidez deberían verificar los parámetros de gobernanza, monitorear acumulaciones grandes de tokens y evitar pools no verificados. Los proyectos con pilas similares probablemente enfrenten un mayor escrutinio y llamados a actualizaciones.

Preguntas frecuentes

¿Cómo el atacante tomó el control de la gobernanza de Token of Power?
El atacante financió una dirección a través de Tornado Cash y adquirió más del 50% del poder de voto de $TOP debido al suministro limitado del token de 16.384 unidades. Usando una configuración de Aragon DAO con MiniMeToken, crearon, votaron y ejecutaron una propuesta maliciosa en una sola transacción, lo que activó al TokenManager para acuñar 10 mil millones de tokens TOP directamente a su contrato.

¿Qué pasó con los fondos robados del exploit de Token of Power?
El atacante intercambió los recién acuñados 10 mil millones de tokens TOP por 944,2 WETH (aproximadamente 1,585 millón de dólares) en el pool Balancer V1 TOP/WETH, y luego enroutó de vuelta los fondos robados a través de Tornado Cash. No hubo pérdidas para el protocolo central de Balancer.