Token of Power ($TOP) สูญหายมูลค่า 1.58 ล้านดอลลาร์สหรัฐในวันนี้จากการโจมตีเชิงการกำกับดูแล (governance) ที่ระบายสระ Balancer V1 ออกจนหมด บริษัทด้านความปลอดภัยของบล็อกเชนรายงาน ผู้โจมตีเข้าถึงอำนาจการโหวตกว่า 50% ของ $TOP เนื่องจากโทเค็นมีอุปทานจำกัดเพียง 16,384 หน่วย จากนั้นจึงสร้างโทเค็นใหม่ 10 พันล้านหน่วยในข้อเสนอร้ายที่ดำเนินการเพียงครั้งเดียวผ่านการตั้งค่า Aragon DAO การโจมตีนี้สอดคล้องกับรูปแบบการโจมตีกำกับดูแลที่เกิดขึ้นกับโปรเจกต์ DeFi มูลค่าเล็กในปี 2026 ซึ่งสภาพคล่องมีน้อยและพารามิเตอร์ที่ผ่อนคลายทำให้การยึดครองทำได้ในราคาที่เอื้อมถึง
Attacker Minted 10 Billion Tokens Through Aragon DAO Proposal
ที่อยู่ซึ่งได้รับทุนผ่าน Tornado Cash เข้าถึงอำนาจการโหวตกว่า 50% ของ $TOP โดยถือโทเค็น TOP มากกว่าครึ่งหนึ่งของอุปทานรวม 16,384 หน่วย โดยใช้การตั้งค่า Aragon DAO ร่วมกับ MiniMeToken ผู้โจมตีได้สร้าง โหวต และดำเนินการข้อเสนอร้ายในธุรกรรมเดียว ส่งผลให้ TokenManager ทำการมินต์โทเค็น TOP จำนวน 10 พันล้านหน่วยโดยตรงไปยังสัญญาของผู้โจมตี จากนั้นโทเค็นที่ถูกสร้างขึ้นใหม่นี้ถูกสลับเป็น 944.2 WETH (ประมาณ 1.585 ล้านดอลลาร์สหรัฐ) ในสระ TOP/WETH ของ Balancer V1 ทำให้สภาพคล่องในสระหมดลง เงินที่ถูกขโมยถูกส่งกลับผ่าน Tornado Cash ไม่มีความสูญเสียเกิดขึ้นกับโปรโตคอลหลักของ Balancer
BlockSec Phalcon Urged Reviews of Similar Governance Systems
BlockSec Phalcon สรุปกลไกอย่างละเอียดและออกคำเตือนว่า: "โปรเจกต์ที่ใช้ระบบการกำกับดูแลแบบ Lido/Aragon ในลักษณะคล้ายกันควรตรวจสอบการกระจายอำนาจการโหวตอย่างรอบคอบ เกณฑ์ quorum/การผ่านสิทธิ์ สิทธิ์ในการมินต์ และมาตรการคุ้มครองการกำกับดูแลที่เกี่ยวข้อง" นอกจากนี้ Cyvers Alerts ยังรายงานธุรกรรมที่น่าสงสัยซึ่งเกี่ยวข้องกับที่อยู่ที่ได้รับทุนจาก Tornado Cash ที่เป็นตัวดำเนินการธุรกรรมร้ายจนระบายเงินออกจากสระ TOP/WETH ของ Balancer V1
Exploit Highlights Ongoing Risks in Low-Cap DeFi Governance
การโจมตีครั้งนี้เป็นอีกหนึ่งตัวอย่างของรูปแบบการโจมตีกำกับดูแลต่อโปรเจกต์ DeFi ขนาดเล็กในปี 2026 ที่สภาพคล่องต่ำและพารามิเตอร์ผ่อนคลายทำให้การยึดครองมีต้นทุนเอื้อมถึง แม้โปรโตคอลขนาดใหญ่จะเสริมการป้องกันด้วย timelock และ quorum ที่สูงขึ้น แต่โทเค็นที่เพิ่งเกิดใหม่จำนวนมากยังเสี่ยงอยู่ นักลงทุนในโทเค็นมูลค่าเล็กและผู้ให้สภาพคล่องควรตรวจสอบพารามิเตอร์การกำกับดูแล ติดตามการสะสมโทเค็นจำนวนมาก และหลีกเลี่ยงสระที่ไม่ได้ผ่านการตรวจสอบ โปรเจกต์ที่ใช้สแตกลักษณะคล้ายกันมีแนวโน้มจะถูกจับตาเพิ่มขึ้นและมีการเรียกร้องให้อัปเกรด
FAQ
ผู้โจมตีเข้าควบคุมการกำกับดูแลของ Token of Power ได้อย่างไร?
ผู้โจมตีเติมเงินให้กับที่อยู่ผ่าน Tornado Cash และเข้าถึงอำนาจการโหวตกว่า 50% ของ $TOP เนื่องจากโทเค็นมีอุปทานจำกัดเพียง 16,384 หน่วย โดยใช้การตั้งค่า Aragon DAO ร่วมกับ MiniMeToken พวกเขาได้สร้าง โหวต และดำเนินการข้อเสนอร้ายในธุรกรรมเดียว ทำให้ TokenManager ทำการมินต์โทเค็น TOP จำนวน 10 พันล้านหน่วยโดยตรงไปยังสัญญาของตน
เงินที่ถูกขโมยจากการโจมตีของ Token of Power เกิดอะไรขึ้น?
ผู้โจมตีสลับโทเค็น TOP จำนวน 10 พันล้านหน่วยที่ถูกมินต์ใหม่สำหรับ 944.2 WETH (ประมาณ 1.585 ล้านดอลลาร์สหรัฐ) ในสระ TOP/WETH ของ Balancer V1 จากนั้นจึงส่งเงินที่ถูกขโมยกลับผ่าน Tornado Cash ไม่มีความสูญเสียเกิดขึ้นกับโปรโตคอลหลักของ Balancer
