主な要点:
- 攻撃者がToken of PowerのAragon DAOのガバナンス支配権を掌握。
- 100億のTOPトークンを鋳造し、Balancer V1から944.2 WETHを流出させた。
- BlockSec Phalconはプロジェクトに対し、直ちにガバナンス保護策を見直すよう警告。
戻る
Token of Power、Aragon DAOガバナンス悪用で158万ドルを損失
6月9日、攻撃者がToken of PowerのAragon DAOにおけるガバナンス設定ミスを利用し、Balancer V1プールから158万ドルを流出させた。
「LidoやAragonと同様のガバナンス実装を使用しているプロジェクトは、投票権の分配、クォーラム(定足数)および承認しきい値、ミント権限、関連するガバナンス保護策を注意深く見直すべきだ」とBlockSec Phalconは事後分析で述べている。
Tornado Cashを通じて資金供給を受けた攻撃者は、総供給量16,384のTOPの50%超を取得。単一のトランザクションで、悪意のある提案を作成、投票、実行し、TokenManagerをトリガーして100億のTOPトークンを自らのコントラクトに直接ミントさせた。新たにミントされたトークンは、イーサリアム上のTOP/WETH Balancer V1プールで944.2 WETHと交換され、プールの流動性は枯渇した。盗難資金は再びTornado Cashを経由して送金され、回収は困難となっている。Balancerの中核プロトコルに損失は発生していない。
今回の悪用は、2026年に小規模なDeFiプロジェクトで発生しているガバナンス攻撃のパターンに加わるものである。低流動性と緩いパラメータが、買収を容易にしている。大手プロトコルはタイムロックやより高いクォーラムで防御を強化してきたが、Aragonや類似スタック上の多くの新興トークンは依然としてリスクにさらされており、セキュリティ企業の監視強化やガバナンスアップグレードを求める声が高まる可能性が高い。
BlockSec Phalconの警告はTOPに留まらない。MiniMeTokenと低供給量分散を備えたAragon DAOを使用するプロジェクトは、同様のリスクに直面する。この攻撃はコードの悪用を伴わず、タイムロックやクォーラムによる保護がない状態で、単一のエンティティが過半数の投票権を保持できるようにするガバナンスパラメータのみを利用したものだ。低時価総額のDeFiトークンへの投資家にとって、この一件は、流動性を提供する前にガバナンスパラメータを検証し、大口トークン蓄積を監視することの重要性を浮き彫りにしている。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。
