Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 284RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 284Governance-Angriff

Token of Power Governance-Übernahme

Ein Angreifer mit TOP-Mehrheit ließ in einer einzigen Transaktion einen Aragon-Vorschlag ausführen, prägte ~10 Mrd. Token und zog 944 WETH aus einem Balancer-V1-Pool ab.

Datum
Opfer
Token of Power (TOP)
Chain(s)
Ethereum
Status
Mittel entwendet

Am 9. Juni 2026 wurde Token of Power (TOP), ein über eine Aragon-DAO verwalteter Ethereum-Token, in einem Governance-Übernahmeangriff um etwa 944,2 WETH (~1,58 Mio. US-Dollar) erleichtert. Das Balancer-Protokoll selbst war nicht betroffen — der Verlust traf den TOP/WETH-Liquiditätspool auf Balancer V1.

Was geschah

Der Angreifer erwarb zunächst mehr als 50 % des umlaufenden TOP-Bestands — genug, um die Abstimmung im Alleingang zu kontrollieren. TOPs Governance beruhte auf einer fehlkonfigurierten Aragon-Einrichtung rund um den MiniMeToken-Standard ohne Timelock, der Vorschlagserstellung und Ausführung trennt. So konnte der Angreifer einen Vorschlag erstellen, darüber abstimmen und ihn innerhalb einer einzigen Transaktion ausführen — und prägte dabei rund 10 Milliarden neue TOP-Token direkt an einen von ihm kontrollierten Vertrag. Der frisch geprägte Bestand wurde anschließend gegen den TOP/WETH-Pool getauscht und zog rund 944 WETH ab, während die Liquiditätsanbieter mit einem nun wertlosen Token zurückblieben. Die Sicherheitsfirmen Blockaid, Cyvers und PeckShield meldeten die Aktivität on-chain; Blockaid stufte sie als Governance-Übernahmeangriff ein.

Folgen

Die gestohlenen ETH wurden über Tornado Cash geschleust, was die Verfolgung erschwert. Die Ausgangs-Wallet war selbst über Tornado Cash finanziert worden, was zu einer geplanten Operation passt. Zum Zeitpunkt der Berichterstattung waren keine Mittel zurückgeholt worden.

Warum es wichtig ist

TOP ist eine Musterfall-Governance-Übernahme in einer einzigen Transaktion: Wenn der eigene Token-Bestand das Stimmgewicht bildet und es keinen Timelock gibt, kann jeder, der eine Mehrheit kaufen oder leihen kann, die Regeln in einem Block neu schreiben. Es erinnert an die Flash-Loan-Governance-Plünderung von Beanstalk und die Übernahme der Tornado-Cash-Governance und beruht — wie Audius — auf einem Konfigurationsfehler im Vertrag und nicht auf einer Marktmanipulation. Der Vorfall erinnert daran, dass Timelocks und Ausführungsverzögerungen keine optionalen Verzierungen sind, sondern die zentrale Verteidigung, die einer Community Zeit gibt, zu reagieren, bevor ein bösartiger Vorschlag in Kraft tritt.

Quellen & On-Chain-Belege

  1. [01]crypto.newshttps://crypto.news/token-of-power-exploit-drains-1-58m-from-balancer-pool/
  2. [02]ambcrypto.comhttps://ambcrypto.com/governance-takeover-lets-attacker-mint-10b-top-tokens-in-1-5m-exploit/
  3. [03]crypto-economy.comhttps://crypto-economy.com/attacker-steals-1-6-million-worth-of-top-tokens-in-aragon-dao-breach/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/10/one-vote-1-58m-gone-top-token-hit-by-alleged-governance-attack/

Verwandte Einträge