Saltar al contenido
Est. MMXXVIVol. VI · № 284RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 284Ataque de gobernanza

Toma de gobernanza de Token of Power

Un atacante con la mayoría de TOP ejecutó una propuesta de Aragon en una sola transacción, acuñó ~10 000 millones de tokens y drenó 944 WETH de un pool de Balancer V1.

Fecha
Víctima
Token of Power (TOP)
Cadena(s)
Ethereum
Estado
Fondos robados

El 9 de junio de 2026, Token of Power (TOP), un token de Ethereum gobernado a través de una DAO de Aragon, fue drenado de aproximadamente 944,2 WETH (~1,58 millones de dólares) en un ataque de toma de gobernanza. El protocolo Balancer en sí no se vio afectado — la pérdida recayó sobre el pool de liquidez TOP/WETH desplegado en Balancer V1.

Qué ocurrió

El atacante adquirió primero más del 50 % del suministro circulante de TOP, suficiente para controlar por sí solo la votación. La gobernanza de TOP dependía de una configuración de Aragon mal ajustada en torno al estándar MiniMeToken, sin timelock que separara la creación de la propuesta de su ejecución. Eso permitió al atacante crear una propuesta, votarla y ejecutarla dentro de una sola transacción — acuñando alrededor de 10 000 millones de nuevos tokens TOP directamente en un contrato controlado por él. El suministro recién acuñado se intercambió luego contra el pool TOP/WETH, drenando unos 944 WETH y dejando a los proveedores de liquidez con un token ahora sin valor. Las firmas de seguridad Blockaid, Cyvers y PeckShield señalaron la actividad on-chain, y Blockaid la calificó de ataque de toma de gobernanza.

Consecuencias

El ETH robado se enrutó hacia Tornado Cash, lo que complica el rastreo. La billetera de origen había sido financiada a su vez a través de Tornado Cash, coherente con una operación premeditada. Al momento de la publicación, no se había recuperado ningún fondo.

Por qué importa

TOP es un caso de manual de captura de gobernanza en una sola transacción: cuando el propio suministro de un token es el peso de voto y no hay timelock, cualquiera que pueda comprar o tomar prestada una mayoría puede reescribir las reglas en un solo bloque. Recuerda al drenaje de gobernanza por flash loan de Beanstalk y a la toma de la gobernanza de Tornado Cash, y — como Audius — se basa en un fallo de configuración del contrato más que en una manipulación de mercado. El episodio recuerda que los timelocks y los retrasos de ejecución no son adornos opcionales, sino la defensa central que da a una comunidad tiempo para reaccionar antes de que una propuesta maliciosa se consolide.

Fuentes y evidencia on-chain

  1. [01]crypto.newshttps://crypto.news/token-of-power-exploit-drains-1-58m-from-balancer-pool/
  2. [02]ambcrypto.comhttps://ambcrypto.com/governance-takeover-lets-attacker-mint-10b-top-tokens-in-1-5m-exploit/
  3. [03]crypto-economy.comhttps://crypto-economy.com/attacker-steals-1-6-million-worth-of-top-tokens-in-aragon-dao-breach/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/10/one-vote-1-58m-gone-top-token-hit-by-alleged-governance-attack/

Registros relacionados