Governance-aanval kost cryptoproject Token of Power 1,58 miljoen dollar

In dit artikel:

Het cryptoproject Token of Power (TOP) werd onlangs het slachtoffer van een grootschalige governance-aanval waarbij ongeveer 944 WETH (circa 1,58 miljoen dollar) uit een liquiditeitspool verdween. Beveiligingsbedrijf Blockaid ontdekte de actie en legde uit dat de dader via het stemsysteem van het protocol de macht overnam en vervolgens miljarden nieuwe TOP-tokens liet aanmaken en direct verkocht voor Ethereum.

De kern van de exploit lag in een zwakke governance-opzet. Van de in totaal 16.384 TOP-tokens wiste de aanvaller 8.192 te verzamelen, waardoor hij meer dan 50% van de stemrechten kreeg. Omdat er bij TOP geen extra beschermingslagen waren ingebouwd — zoals timelocks of procedures die uitvoering van een voorstel vertragen — kon dezelfde actor in één transactie een voorstel indienen, goedkeuren en uitvoeren. Daarmee activeerde hij de mint-functie en maakte 10 miljard TOP-tokens aan, die vervolgens via de TOP/WETH-liquiditeitspool op Balancer werden verkocht, waardoor vrijwel alle beschikbare Ethereum uit die pool werd onttrokken.

Onderzoekers benadrukken dat Balancer zelf niet kwetsbaar bleek; de fout zat volledig in Token of Power’s governanceconstructie. BlockSec stelde dat de aanvaller vooraf ongeveer 662 WETH moest investeren om de benodigde TOP-tokens te vergaren, waardoor de geschatte nettowinst uit de actie rond de 282 WETH ligt. Onchain-onderzoeker 0xsadikbaba rapporteerde vergelijkbare cijfers en meldde dat binnen korte tijd ongeveer 945 ETH uit de pool verdween.

Na de roof werden de opbrengsten snel via Tornado Cash verplaatst, een mengdienst die transactietracering bemoeilijkt; binnen ongeveer een uur waren er meerdere stortingen (onder meer van 100 en 10 ETH) en uiteindelijk bevatte de aanvallerswallet vrijwel geen ETH meer.

Het incident versterkt zorgen over governance-veiligheid in DeFi, vooral bij kleinere projecten waar een relatief kleine hoeveelheid tokens genoeg kan zijn om controle te verwerven. Beveiligingsexperts en bedrijven als BlockSec raden projecten aan hun governance-frameworks (ook bij gebruik van platforms als Aragon) te herzien: letselsamenstelling van stemrechten, quorumvereisten, macht om nieuwe tokens te minten en de aanwezigheid van timelocks en andere remmende maatregelen moeten worden aangescherpt. Het voorval toont dat governance-fouten, zelfs zonder technische zwaktes in handelsprotocollen, kunnen leiden tot miljoenenverliezen voor beleggers en liquiditeitsverschaffers.