Token of Power-exploit trekt $1,58 miljoen weg uit Balancer-pool

Token of Power werd op dinsdag getroffen door een exploit waarbij meer dan $1,5 miljoen uit zijn liquiditeitspool werd weggesluisd. On-chain bedrijven Blockaid, PeckShield en Cyvers meldden het incident in berichten op X.

• Token of Power verloor 944,2 WETH, ter waarde van ongeveer $1,58 miljoen, uit zijn TOP/WETH Balancer V1-pool.
• Blockaid omschreef het incident als een governance-overnameanval, terwijl Cyvers de afvoer herleidde naar de Balancer-pool.
• Gegevens van PeckShield toonden aan dat de aanvaller de gestolen fondsen later naar de Tornado Cash crypto-mixer verplaatste.

De aanval was gericht op de TOP/WETH Balancer V1-pool en sluisde 944,2 WETH weg.

TOP token-exploit treft Balancer-pool

Token of Power, ook bekend als TOP, is een op Ethereum gebaseerd ERC-20-token. Het project opereert onder een DAO genaamd The Mask of Power. Het project bouwde TOP rondom het collectieve eigenaarschap van een specifieke MetaMask NFT. Het token ondersteunde ook de liquiditeit voor de marktactiviteiten van het project. 

Cyvers zei dat de aanvaller fondsen uit de TOP/WETH Balancer V1-pool wegsluisde. De pool hield TOP-tokens en Wrapped Ethereum aan onder een 50-50-structuur. Wrapped Ethereum, of WETH, vertegenwoordigt ETH in een tokenformaat dat in DeFi wordt gebruikt. 

De Balancer V1-pool fungeerde als een geautomatiseerde handelskluis voor beide activa. Blockaid omschreef het incident als een "governance-overnameanval" in zijn X-bericht. PeckShield en Cyvers publiceerden ook waarschuwingen toen de transactieactiviteit on-chain zichtbaar werd.

On-chain bedrijven melden verlies van 944,2 WETH

On-chain inlichtingenbedrijven zeiden dat de aanvaller een groot aantal TOP-tokens aan de pool toevoegde. De aanvaller wisselde die tokens vervolgens in tegen de echte WETH-reserves van de pool. De exploit sluisde 944,2 WETH weg, destijds ter waarde van ongeveer $1,58 miljoen. 

Na de afvoer bevatte de pool sterk verdunde TOP-tokens. Het incident liet liquiditeitsverschaffers blootgesteld aan tokens met weinig marktwaarde. Verdere projectdetails over herstel, compensatie of vervolgstappen zijn nog niet beschikbaar.

Gegevens van PeckShield toonden aan dat de aanvaller de gestolen fondsen later naar Tornado Cash verplaatste. Tornado Cash is een crypto-mixer die het traceren van fondsen moeilijker kan maken. De verplaatsing naar Tornado Cash volgde op de initiële afvoer uit de Balancer-pool. Beveiligingsbedrijven hebben nog geen volledig technisch rapport over het incident gepubliceerd.

Exploit volgt op afzonderlijke Humanity Protocol-inbreuk

Het Token of Power-incident vond één dag plaats na een andere gemelde DeFi-beveiligingsinbreuk. Zoals gemeld door crypto.news,  verloor Humanity Protocol $36 miljoen aan gebruikersfondsen door een inbreuk op de laptop van een medewerker. De twee incidenten troffen verschillende projecten en maakten gebruik van verschillende gerapporteerde aanvalspaden. 

Beide gevallen trokken deze week echter de aandacht van blockchain-beveiligingsbedrijven. De Humanity Protocol-inbreuk betrof een digitaal identiteitsproject gebouwd op blockchaininfrastructuur. De Token of Power-exploit was daarentegen gericht op een liquiditeitspool.

Het TOP-project heeft nog geen volledig incidentoverzicht gepubliceerd in de verstrekte details. Meer informatie over de route van de aanvaller en een mogelijke projectreactie is nog in afwachting. Blockaid, PeckShield en Cyvers blijven de belangrijkste geciteerde bronnen voor het incident. Hun waarschuwingen identificeerden de getroffen pool, het geschatte verlies en de fondsenbeweging.