Những điểm chính:
- Kẻ tấn công đã chiếm quyền kiểm soát quản trị Aragon DAO của Token of Power.
- Chúng đã đúc 10 tỷ token TOP và rút 944,2 WETH từ pool Balancer V1.
- BlockSec Phalcon cảnh báo các dự án cần rà soát ngay các biện pháp bảo vệ quản trị.
Quay lại
Token of Power mất 1,58 triệu USD do khai thác quyền quản trị Aragon DAO
Một kẻ tấn công đã khai thác lỗ hổng cấu hình quản trị trong Aragon DAO của Token of Power, rút 1,58 triệu USD từ một pool Balancer V1 vào ngày 9/6.
"Các dự án sử dụng triển khai quản trị Lido/Aragon tương tự cần xem xét cẩn thận việc phân bổ quyền biểu quyết, ngưỡng túc số và thông qua, quyền đúc token, cùng các biện pháp bảo vệ quản trị liên quan," BlockSec Phalcon cho biết trong một phân tích hậu sự cố.
Kẻ tấn công, được cấp vốn thông qua Tornado Cash, đã mua hơn 50% trong tổng số 16.384 token TOP đang lưu hành. Trong một giao dịch duy nhất, chúng đã tạo, bỏ phiếu và thực thi một đề xuất độc hại khiến TokenManager đúc trực tiếp 10 tỷ token TOP vào hợp đồng của chúng. Số token mới đúc được đổi lấy 944,2 WETH trong pool TOP/WETH Balancer V1 trên Ethereum, làm cạn kiệt thanh khoản của pool này. Số tiền bị đánh cắp đã được chuyển trở lại qua Tornado Cash, khiến việc thu hồi trở nên phức tạp. Không có tổn thất nào xảy ra đối với giao thức cốt lõi của Balancer.
Vụ khai thác này nối dài chuỗi các cuộc tấn công quản trị nhắm vào các dự án DeFi nhỏ hơn trong năm 2026, nơi thanh khoản thấp và các tham số lỏng lẻo khiến việc thâu tóm trở nên dễ dàng. Trong khi các giao thức lớn đã tăng cường phòng thủ bằng khóa thời gian và ngưỡng túc số cao hơn, nhiều token mới nổi trên Aragon và các nền tảng tương tự vẫn đang bị lộ diện, có khả năng thu hút sự giám sát chặt chẽ hơn từ các công ty bảo mật và các lời kêu gọi nâng cấp quản trị.
Cảnh báo của BlockSec Phalcon không chỉ dừng lại ở TOP. Bất kỳ dự án nào sử dụng Aragon DAO với MiniMeToken và phân bổ nguồn cung thấp đều có nguy cơ tương tự. Cuộc tấn công không yêu cầu khai thác mã — mà chỉ là một tham số quản trị cho phép một thực thể duy nhất nắm giữ đa số quyền biểu quyết mà không có khóa thời gian hoặc biện pháp bảo vệ túc số. Đối với các nhà đầu tư vào token DeFi vốn hóa thấp, sự kiện này nhấn mạnh tầm quan trọng của việc xác minh các tham số quản trị và theo dõi các đợt tích lũy token lớn trước khi cung cấp thanh khoản.
Bài viết này chỉ mang tính chất tham khảo và không cấu thành lời khuyên đầu tư.
