Token of Power 因 Aragon DAO 治理漏洞損失 158 萬美元

一名攻擊者於 6 月 9 日利用 Token of Power 的 Aragon DAO 治理配置漏洞，從 Balancer V1 池中盜走 158 萬美元。

「使用類似 Lido/Aragon 治理架構的專案，應仔細審查其投票權分配、法定人數與通過門檻、鑄造權限及相關治理安全措施，」BlockSec Phalcon 在一份事後分析報告中表示。

該攻擊者透過 Tornado Cash 獲得資金，收購了總計 16,384 枚 TOP 總供應量中超過 50% 的份額。在單筆交易中，他們創建、投票並執行了一項惡意提案，觸發 TokenManager 直接向其合約鑄造了 100 億枚 TOP 代幣。這些新鑄造的代幣在以太坊上的 TOP/WETH Balancer V1 池中被兌換成 944.2 WETH，耗盡了該池的流動性。被盜資金隨後經由 Tornado Cash 回流，增加了追回難度。Balancer 核心協議未遭受損失。

此次漏洞事件加劇了 2026 年小型 DeFi 專案中常見的治理攻擊模式——低流動性與寬鬆參數使得收購治理權成本低廉。儘管主流協議已透過時間鎖與更高法定人數門檻加強防禦，但許多基於 Aragon 及類似架構的新興代幣仍暴露在風險之中，預料將引來安全公司更嚴格的審查，並引發對治理升級的呼籲。

BlockSec Phalcon 的警告不僅針對 TOP。任何使用 Aragon DAO 搭配 MiniMeToken 且供應量分布較低的專案，都面臨類似風險。此次攻擊無需利用程式碼漏洞——僅因治理參數允許單一實體在沒有時間鎖或法定人數保護的情況下持有過半投票權。對於投資低市值 DeFi 代幣的人來說，此事件凸顯了在提供流動性前，驗證治理參數與監控大額代幣囤積行為的重要性。

本文僅供參考，不構成投資建議。