Incident de sécurité de Token of Power
Token of Power a subi un exploit mardi, entraînant le siphonage de plus de 1,5 million de dollars de son pool de liquidités. Les entreprises de surveillance on-chain Blockaid, PeckShield et Cyvers ont signalé l’incident dans des publications sur X.
Détails de l’attaque
L’attaque a ciblé le pool Balancer V1 TOP/WETH, drainant 944,2 WETH. Token of Power, également connu sous le nom de TOP, est un jeton ERC-20 basé sur Ethereum. Le projet fonctionne sous un DAO appelé The Mask of Power et a construit TOP autour de la propriété collective d’un NFT spécifique à MetaMask.
Son jeton soutenait également la liquidité pour l’activité de marché du projet. Cyvers a déclaré que l’attaquant avait siphonné des fonds du pool Balancer V1 TOP/WETH, qui contenait des jetons TOP et de l’Ethereum enveloppé dans une structure 50-50. L’Ethereum enveloppé, ou WETH, représente l’ETH sous un format de jeton utilisé dans l’écosystème DeFi.
Le pool Balancer V1 fonctionnait comme un coffre de trading automatisé pour ces deux actifs. Blockaid a décrit l’incident comme une « attaque de prise de contrôle de gouvernance » dans sa publication sur X.
Conséquences de l’attaque
PeckShield et Cyvers ont également publié des alertes alors que l’activité de transaction devenait visible sur la chaîne. Les entreprises de renseignement on-chain ont indiqué que l’attaquant avait ajouté un grand nombre de jetons TOP dans le pool, puis échangé ces jetons contre les réserves réelles de WETH. L’exploit a ainsi siphonné 944,2 WETH, d’une valeur d’environ 1,58 million de dollars à l’époque.
#PeckShieldAlert Token of Power ($TOP) a été exploité pour 1,58 million de dollars. L’attaquant a déposé 945,1 ETH dans #TornadoCash.
Après le siphonage, le pool contenait des jetons TOP fortement dilués, laissant les fournisseurs de liquidités exposés à des actifs ayant peu de valeur marchande. D’autres détails concernant la récupération du projet, la compensation ou les prochaines étapes restent à confirmer.
Analyse et implications
Les données de PeckShield ont montré que l’attaquant avait ensuite déplacé les fonds volés vers Tornado Cash, un mélangeur de crypto qui complique le traçage des fonds. Ce mouvement vers Tornado Cash a suivi le siphonage initial du pool Balancer.
Les entreprises de sécurité n’ont pas encore publié de rapport technique complet sur l’incident. L’incident de Token of Power est survenu un jour après une autre violation de sécurité dans le secteur DeFi. Comme l’a rapporté crypto.news, Humanity Protocol a perdu 36 millions de dollars de fonds d’utilisateurs à la suite d’une violation de l’ordinateur portable d’un employé.
Bien que les deux incidents aient affecté des projets différents et utilisé des méthodes d’attaque distinctes, ils ont tous deux attiré l’attention des entreprises de sécurité blockchain cette semaine. La violation de Humanity Protocol impliquait un projet d’identité numérique construit sur une infrastructure blockchain, tandis que l’exploit de Token of Power était centré sur un pool de liquidités.
Le projet TOP n’a pas encore publié d’examen complet de l’incident. Plus d’informations sur le parcours de l’attaquant et la réponse potentielle du projet restent en attente. Blockaid, PeckShield et Cyvers continuent de servir de principales sources d’information sur cet incident, ayant identifié le pool affecté, la perte estimée et le mouvement des fonds.
