最新消息
  • 攻击者利用 Aragon DAO 漏洞从 Token of Power (TOP) 中盗走 160 万美元
    16秒前 新闻
  • SBI新生银行将以 Bitcoin、以太坊和 XRP 代金券奖励日本储户。
    2小时前 新闻
  • 日本三大银行将于2026财年末前联合发行日元挂钩稳定币
    2小时前 新闻
  • 2026年最值得关注的跨链桥
    3 小时前 深度解析——加密货币、Web3 和市场洞察
为您精选
  • SBI新生银行将以 Bitcoin、以太坊和 XRP 代金券奖励日本储户。
    SBI新生银行将以 Bitcoin、以太坊和 XRP 代金券奖励日本储户。
    2小时前 新闻
  • 日本金融厅将支持三大银行的稳定币项目
    日本三大银行将于2026财年末前联合发行日元挂钩稳定币
    2小时前 新闻
  • 韩国交易员坚守阵地,外国投资者预计将在2026年撤资创纪录的620亿美元。
    5小时前 经济
每周
保持领先

最优质的加密货币资讯直接发送到您的邮箱。.

攻击者利用 Aragon DAO 漏洞从 Token of Power (TOP) 中盗走 160 万美元

经过汉娜·科利莫尔汉娜·科利莫尔
阅读时长:2分钟 16秒前
攻击者利用 Aragon DAO 漏洞从 Token of Power (TOP) 中盗走 160 万美元
  • 攻击者利用 DAO 治理漏洞铸造代币,从 Balancer 流动性池中窃取了 944 个 WETH(158 万美元)。.
  • 通过控制 TOP 代币供应量的 50% 以上,攻击者可以单方面通过和执行提案。.
  • 由于没有时间限制,提案的创建、审批和执行可以在一次交易中完成。.

攻击者利用了 Token of Power (TOP) Aragon DAO 中的治理配置错误。.

据报道,他们利用多数投票权铸造代币,从 Ethereum上的 Balancer V1 流动性池中抽取了大约 944 个 WETH,价值约 158 万美元。.

多家区块链安全公司发现了这起dent,并利用有效攻击向量指出,TOP 的总代币供应量仅为 16,384 个代币,而攻击者持有其中略多于一半的代币。.

TOP 代币漏洞是如何运作的?

TOP 是一种通过 Aragon 的投票基础设施进行治理的 MiniMeToken。根据 Blockaid 的分析,攻击者积累了 8,192.000001 个 TOP,这足以帮助他们跨越 50% 的门槛,从而单方面通过治理提案。 

由于 TOP 的 DAO 上的 Aragon Voting 应用程序没有时间锁,攻击者能够在一次交易中创建提案、投票通过并执行该提案。.

BlockSec Phalcon 确认,通过的提案向攻击者的地址铸造了大量新的 TOP 代币。攻击者随后利用这些新铸造的代币清空了 TOP/WETH Balancer V1 BPool,窃取trac944.2 个 WETH。

值得注意的是,Balancer 协议本身并不存在漏洞。攻击者只是利用资金池将价格虚高的 TOP 代币兑换成了 WETH。.

攻击者是如何转移资金的?

攻击者的钱包地址 0xff8eF7bC455a57e5893232203052Ce0232b39Fa2 通过Tornado Cash 充值。在单笔交易中完成的trac根据 Blockaid 的链上分析,此次攻击是通过一个专用。

教科书式的公司治理-接管场景

此次漏洞利用的根本原因并非传统意义上的智能trac漏洞。TOP 的代币供应量相对较小,市值也较低,因此获取控股权的成本很低。.

当这一点与 Aragon 的投票配置相结合时(该配置允许在同一区块中创建、投票和执行提案),攻击者在获得多数权力和耗尽资金之间几乎没有遇到任何重大障碍。.

Aragon 自身关于 DAO 安全性的文档 上的敏感函数的重要性trac。

在同一份文件中,该组织声明,默认情况下所有人都可以访问链上功能,但当涉及代币铸造或资金转移时,授权访问“必须限制在授权地址”。.

然而,TOP 的配置没有强制执行时间锁或法定人数延迟,这使得其他代币持有者没有时间做出反应。.

看什么

截至发稿时,Token of Power团队和Aragon均未就此漏洞发表任何声明。. 

虽然 被盗的 WETH 仍然 tracTornado Cash 但攻击者钱包中的dent 提醒我们,对于供应量低且与国库密切相关的代币而言,治理参数(例如时间锁、法定人数阈值、提案延迟)并非可有可无的安全措施。

最顶尖的加密货币专家都在阅读我们的简报。想 加入他们

常见问题解答

攻击者是如何利用“权力令牌”漏洞的?

攻击者获得了 TOP 代币 16,384 枚供应量的 50% 以上,然后使用 Aragon 的投票应用程序创建、批准并执行了一项治理提案,该提案通过一次交易铸造了新的 TOP 代币到他们的地址,这些代币随后被兑换成 Balancer V1 池中的 944.2 WETH。.

Balancer 的协议是否在这次攻击中遭到破坏?

不。Blockaid 已确认 Balancer 协议本身并非漏洞的根源。攻击者仅利用 TOP/WETH Balancer V1 BPool 作为出口点,将铸造的代币转换为 WETH。.

被盗金额是多少?这些钱能追回吗?

约有价值 158 万美元的 WETH 被盗。由于攻击者的钱包是通过 Tornado Cash(一种官方认可的混币协议)充值的,因此找回损失变得十分复杂。.

分享这篇文章

免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
汉娜·科利莫尔

汉娜·科利莫尔

汉娜是一位作家兼编辑,在加密货币领域拥有近十年的博客写作和活动报道经验。在 Cryptopolitan,汉娜负责新闻版块,报道和分析 DeFi、RWA、加密货币监管、人工智能和前沿科技行业的最新动态。她毕业于阿卡迪亚大学,获得工商管理学位。.

目录
1. TOP 代币漏洞是如何运作的?
2. 攻击者是如何转移资金的?
3. 教科书式的公司治理-接管场景
4. 看什么
分享这篇文章
更多…新闻
显示全部
聊天 GPT

ChatGPT 的 5 个巧妙应用以及你应该如何应对它们
3年前 技术员 约翰·帕尔默
人工智能解决方案

路透社报道,93%的商业领袖倾向于使用人工智能解决方案进行品牌可持续发展管理。
3年前 技术员 约翰·帕尔默
法国的人工智能生态系统

以下是马克龙如何支持法国充满活力且高效的人工智能生态系统
3年前 Tech Glory Kaburu
生成式人工智能

彭博社预计,到2032年,生成式人工智能市场规模将达到1.3万亿美元。
3年前 技术 Aamir Sheikh
  • 什么是 Base?Coinbase 推出的 Ethereum Layer-2 网络。.
    什么是 Base?Coinbase 推出的 Ethereum Layer-2 网络
    2025年10月21日 学习加密货币:新手指南
  • Dogecoin 与 Bitcoin:主要技术差异
    Dogecoin 与 Bitcoin:主要技术差异
    2025年10月20日 学习加密货币:新手指南
  • 加密货币中的TVL(总锁定价值)是什么?
    加密货币中的TVL(总锁定价值)是什么?
    2025年10月14日 学习加密货币:新手指南
  • 如何阅读加密货币白皮书?
    如何阅读加密货币白皮书?
    2025年10月13日 学习加密货币:新手指南
  • Ripple 、 XRP 和 XRP Ledger:它们之间有什么区别?
    Ripple 、 XRP 和 XRP Ledger:它们之间有什么区别?
    2025年10月13日 学习加密货币:新手指南
  • 加密货币中的多重签名钱包是什么?
    加密货币中的多重签名钱包是什么?
    2025年10月10日 学习加密货币:新手指南
深度 密码
学速成课程
  • 哪些加密货币可以让你赚钱
  • 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
  • 专业人士使用的鲜为人知的投资策略
  • 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)