Exploit des Token of Power
Am Dienstag erlitt der Token of Power (TOP) einen Exploit, bei dem mehr als 1,5 Millionen Dollar aus seinem Liquiditätspool abgezweigt wurden. On-Chain-Analysefirmen wie Blockaid, PeckShield und Cyvers berichteten über den Vorfall auf der Plattform X. Der Angriff richtete sich gegen den TOP/WETH Balancer V1 Pool und entnahm 944,2 WETH.
Über Token of Power
Token of Power, auch bekannt als TOP, ist ein auf Ethereum basierendes ERC-20-Token, das unter einer dezentralen autonomen Organisation (DAO) namens The Mask of Power operiert. Das Projekt hat TOP um das kollektive Eigentum eines bestimmten MetaMask-NFTs herum aufgebaut. Der Token unterstützte auch die Liquidität für die Marktaktivitäten des Projekts.
Details des Angriffs
Cyvers berichtete, dass der Angreifer Gelder aus dem TOP/WETH Balancer V1 Pool abgezweigt hat. Der Pool hielt TOP-Token und Wrapped Ethereum (WETH) in einer 50-50-Struktur. Wrapped Ethereum repräsentiert ETH in einem Token-Format, das in der DeFi-Welt verwendet wird. Der Balancer V1 Pool fungierte als automatisierter Handelsvault für beide Vermögenswerte.
Blockaid beschrieb den Vorfall in einem Beitrag auf X als einen „Governance-Übernahme-Angriff“.
PeckShield und Cyvers veröffentlichten ebenfalls Warnungen, als die Transaktionsaktivität on-chain sichtbar wurde. On-Chain-Intelligenzfirmen berichteten, dass der Angreifer eine große Anzahl von TOP-Token in den Pool einbrachte und diese dann gegen die realen WETH-Reserven des Pools eintauschte. Der Exploit entnahm 944,2 WETH, was zu diesem Zeitpunkt etwa 1,58 Millionen Dollar wert war.
Nach der Entnahme hielt der Pool stark verwässerte TOP-Token, was die Liquiditätsanbieter einem hohen Risiko aussetzte. Weitere Informationen zu möglichen Wiederherstellungsmaßnahmen, Entschädigungen oder nächsten Schritten sind derzeit nicht verfügbar. Daten von PeckShield zeigen, dass der Angreifer später die gestohlenen Gelder in Tornado Cash transferierte, einen Krypto-Mixer, der das Nachverfolgen von Geldern erschwert.
Vergleich mit anderen Vorfällen
Die Bewegung zu Tornado Cash folgte unmittelbar nach der Entnahme aus dem Balancer-Pool. Sicherheitsfirmen haben bislang keinen vollständigen technischen Bericht über den Vorfall veröffentlicht.
Der Vorfall bei Token of Power ereignete sich einen Tag nach einem weiteren gemeldeten DeFi-Sicherheitsvorfall. Wie von crypto.news berichtet, verlor das Humanity Protocol 36 Millionen Dollar an Benutzerfonds durch einen Laptop-Einbruch eines Mitarbeiters. Obwohl die beiden Vorfälle unterschiedliche Projekte betrafen und verschiedene Angriffswege verwendeten, erregten sie in dieser Woche die Aufmerksamkeit von Blockchain-Sicherheitsfirmen.
Der Einbruch im Humanity Protocol betraf ein digitales Identitätsprojekt, das auf Blockchain-Infrastruktur basiert, während sich der Exploit von Token of Power auf einen Liquiditätspool konzentrierte. Das TOP-Projekt hat bislang keine vollständige Überprüfung des Vorfalls veröffentlicht. Weitere Informationen über die Route des Angreifers und mögliche Reaktionen des Projekts stehen noch aus. Blockaid, PeckShield und Cyvers bleiben die Hauptquellen für Informationen zu diesem Vorfall. Ihre Warnungen identifizierten den betroffenen Pool, den geschätzten Verlust und die Geldbewegung.
