L'exploit Token of Power draine 1,58 M$ du pool Balancer

Token of Power a subi une exploitation mardi qui a drainé plus de 1,5 million de dollars de sa pool de liquidité. Les sociétés on-chain Blockaid, PeckShield et Cyvers ont signalé l'incident dans des publications sur X.

• Token of Power a perdu 944,2 WETH, d'une valeur d'environ 1,58 million de dollars, depuis sa pool TOP/WETH Balancer V1.
• Blockaid a décrit l'incident comme une attaque de prise de contrôle de gouvernance, tandis que Cyvers a retracé le drainage jusqu'à la pool Balancer.
• Les données de PeckShield ont montré que l'attaquant a ensuite transféré les fonds volés vers le crypto mixer Tornado Cash.

L'attaque a ciblé la pool TOP/WETH Balancer V1 et a drainé 944,2 WETH.

L'exploit du Token TOP frappe la pool Balancer

Token of Power, également connu sous le nom de TOP, est un Token ERC-20 basé sur Ethereum. Le projet opère sous un DAO appelé The Mask of Power. Le projet a construit TOP autour de la propriété collective d'un NFT MetaMask spécifique. Son Token assurait également la liquidité pour l'activité de marché du projet. 

Cyvers a indiqué que l'attaquant a drainé des fonds depuis la pool TOP/WETH Balancer V1. La pool détenait des Tokens TOP et de l'Ethereum Wrapped selon une structure 50-50. L'Ethereum Wrapped, ou WETH, représente l'ETH dans un format de Token utilisé dans l'ensemble du DeFi. 

La pool Balancer V1 fonctionnait comme un coffre de trading automatisé pour les deux actifs. Blockaid a décrit l'incident comme une « attaque de prise de contrôle de gouvernance » dans sa publication sur X. PeckShield et Cyvers ont également publié des alertes lorsque l'activité des transactions est devenue visible on-chain.

Les sociétés on-chain signalent une perte de 944,2 WETH

Les sociétés de renseignement on-chain ont indiqué que l'attaquant a ajouté un grand nombre de Tokens TOP dans la pool. L'attaquant a ensuite échangé ces Tokens contre les réserves réelles de WETH de la pool. L'exploit a drainé 944,2 WETH, d'une valeur d'environ 1,58 million de dollars à l'époque. 

Après le drainage, la pool détenait des Tokens TOP fortement dilués. L'incident a laissé les fournisseurs de liquidité exposés à des Tokens avec peu de valeur marchande. Les détails supplémentaires du projet concernant la récupération, la compensation ou les prochaines étapes restent indisponibles.

Les données de PeckShield ont montré que l'attaquant a ensuite transféré les fonds volés vers Tornado Cash. Tornado Cash est un crypto mixer qui peut rendre le traçage des fonds plus difficile. Le transfert vers Tornado Cash a suivi le drainage initial depuis la pool Balancer. Les sociétés de sécurité n'ont pas encore publié de rapport technique complet sur l'incident.

L'exploit fait suite à une violation distincte du protocole Humanity

L'incident Token of Power est survenu un jour après une autre violation de sécurité DeFi signalée. Comme l'a rapporté crypto.news,  Humanity Protocol a perdu 36 millions de dollars de fonds d'utilisateurs à la suite d'une violation de l'ordinateur portable d'un employé. Les deux incidents ont affecté des projets différents et ont utilisé des vecteurs d'attaque différents. 

Cependant, les deux cas ont attiré l'attention des sociétés de sécurité blockchain cette semaine. La violation du protocole Humanity impliquait un projet d'identité numérique construit sur une infrastructure blockchain. En revanche, l'exploit Token of Power était centré sur une pool de liquidité.

Le projet TOP n'a pas encore publié un examen complet de l'incident dans les détails fournis. De plus amples informations sur le parcours de l'attaquant et la possible réponse du projet restent en attente. Blockaid, PeckShield et Cyvers continuent de servir de principales sources citées pour l'incident. Leurs alertes ont identifié la pool affectée, la perte estimée et le mouvement des fonds.