Exploit Token of Power wysysa 1,58 mln dolarów z puli Balancer

Token of Power padł ofiarą exploita we wtorek, który opróżnił ponad 1,5 miliona dolarów z jego puli płynności. Firmy on-chain Blockaid, PeckShield i Cyvers zgłosiły incydent w postach na X.

• Token of Power stracił 944,2 WETH, warte około 1,58 miliona dolarów, ze swojej puli TOP/WETH Balancer V1.
• Blockaid opisał incydent jako atak przejęcia zarządzania, podczas gdy Cyvers powiązał opróżnienie z pulą Balancer.
• Dane PeckShield pokazały, że atakujący następnie przeniósł skradzione środki do miksera kryptowalut Tornado Cash.

Atak był wymierzony w pulę TOP/WETH Balancer V1 i opróżnił 944,2 WETH.

Exploit tokena TOP uderza w pulę Balancer

Token of Power, znany również jako TOP, to token ERC-20 oparty na Ethereum. Projekt działa w ramach DAO o nazwie The Mask of Power. Projekt zbudował TOP wokół zbiorowej własności konkretnego NFT MetaMask. Jego token wspierał również płynność dla aktywności rynkowej projektu. 

Cyvers poinformował, że atakujący opróżnił środki z puli TOP/WETH Balancer V1. Pula przechowywała tokeny TOP i Wrapped Ethereum w strukturze 50-50. Wrapped Ethereum, czyli WETH, reprezentuje ETH w formacie tokena używanego w całym DeFi. 

Pula Balancer V1 funkcjonowała jako zautomatyzowany skarbiec handlowy dla obu aktywów. Blockaid opisał incydent jako „atak przejęcia zarządzania" w swoim poście na X. PeckShield i Cyvers również opublikowali alerty, gdy aktywność transakcyjna stała się widoczna on-chain.

Firmy on-chain raportują stratę 944,2 WETH

Firmy wywiadowcze on-chain podały, że atakujący dodał dużą liczbę tokenów TOP do puli. Atakujący następnie wymienił te tokeny na realne rezerwy WETH puli. Exploit opróżnił 944,2 WETH, warte wówczas około 1,58 miliona dolarów. 

Po opróżnieniu pula zawierała silnie rozcieńczone tokeny TOP. Incydent naraził dostawców płynności na tokeny o niewielkiej wartości rynkowej. Dalsze szczegóły projektu dotyczące odzyskania środków, rekompensaty lub kolejnych kroków pozostają niedostępne.

Dane PeckShield pokazały, że atakujący następnie przeniósł skradzione środki do Tornado Cash. Tornado Cash to mikser kryptowalut, który może utrudnić śledzenie środków. Przeniesienie do Tornado Cash nastąpiło po początkowym opróżnieniu puli Balancer. Firmy bezpieczeństwa nie opublikowały jeszcze pełnego raportu technicznego dotyczącego incydentu.

Exploit następuje po oddzielnym naruszeniu bezpieczeństwa Humanity Protocol

Incydent z Token of Power nastąpił dzień po innym zgłoszonym naruszeniu bezpieczeństwa DeFi. Jak podało crypto.news,  Humanity Protocol stracił 36 milionów dolarów środków użytkowników w wyniku włamania na laptop pracownika. Oba incydenty dotknęły różnych projektów i wykorzystały różne zgłoszone ścieżki ataku. 

Jednak oba przypadki przyciągnęły uwagę firm zajmujących się bezpieczeństwem blockchain w tym tygodniu. Naruszenie Humanity Protocol dotyczyło projektu tożsamości cyfrowej zbudowanego na infrastrukturze blockchain. Natomiast exploit Token of Power skupiał się na puli płynności.

Projekt TOP nie opublikował jeszcze pełnego przeglądu incydentu w dostępnych szczegółach. Więcej informacji na temat trasy atakującego i możliwej odpowiedzi projektu pozostaje w toku. Blockaid, PeckShield i Cyvers nadal służą jako główne cytowane źródła dotyczące incydentu. Ich alerty zidentyfikowały dotkniętą pulę, szacowaną stratę i ruch środków.