Aller au contenu
Fondé MMXXVIVol. VI · № 284RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 284Attaque de gouvernance

Prise de contrôle de la gouvernance de Token of Power

Un attaquant majoritaire en TOP a exécuté une proposition Aragon en une seule transaction, émis ~10 milliards de jetons et drainé 944 WETH d'un pool Balancer V1.

Date
Victime
Token of Power (TOP)
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 9 juin 2026, Token of Power (TOP), un jeton Ethereum gouverné via une DAO Aragon, a été vidé d'environ 944,2 WETH (~1,58 million de dollars) lors d'une attaque par prise de contrôle de la gouvernance. Le protocole Balancer lui-même n'a pas été affecté — la perte est tombée sur le pool de liquidité TOP/WETH déployé sur Balancer V1.

Ce qui s'est passé

L'attaquant a d'abord acquis plus de 50 % de l'offre en circulation de TOP, soit assez pour contrôler à lui seul le vote. La gouvernance de TOP reposait sur une configuration Aragon mal paramétrée autour du standard MiniMeToken, sans timelock séparant la création d'une proposition de son exécution. Cela a permis à l'attaquant de créer une proposition, voter et l'exécuter au sein d'une seule transaction — émettant environ 10 milliards de nouveaux jetons TOP directement vers un contrat qu'il contrôlait. L'offre fraîchement émise a ensuite été échangée contre le pool TOP/WETH, drainant environ 944 WETH et laissant les fournisseurs de liquidité avec un jeton désormais sans valeur. Les sociétés de sécurité Blockaid, Cyvers et PeckShield ont signalé l'activité on-chain, Blockaid la qualifiant d'attaque par prise de contrôle de la gouvernance.

Conséquences

Les ETH dérobés ont été acheminés vers Tornado Cash, ce qui complique le traçage. Le portefeuille de départ avait lui-même été financé via Tornado Cash, cohérent avec une opération préméditée. À l'heure de la publication, aucun fonds n'avait été récupéré.

Pourquoi c'est important

TOP est un cas d'école de capture de gouvernance en une seule transaction : lorsque l'offre même d'un jeton constitue le poids de vote et qu'il n'existe aucun timelock, quiconque peut acheter ou emprunter une majorité peut réécrire les règles en un seul bloc. Cela rappelle le drainage de gouvernance par flash loan de Beanstalk et la prise de contrôle de la gouvernance de Tornado Cash, et — comme Audius — repose sur un défaut de configuration du contrat plutôt que sur une manipulation de marché. L'épisode rappelle que les timelocks et les délais d'exécution ne sont pas des ornements optionnels mais la défense centrale qui donne à une communauté le temps de réagir avant qu'une proposition malveillante ne soit entérinée.

Sources & preuves on-chain

  1. [01]crypto.newshttps://crypto.news/token-of-power-exploit-drains-1-58m-from-balancer-pool/
  2. [02]ambcrypto.comhttps://ambcrypto.com/governance-takeover-lets-attacker-mint-10b-top-tokens-in-1-5m-exploit/
  3. [03]crypto-economy.comhttps://crypto-economy.com/attacker-steals-1-6-million-worth-of-top-tokens-in-aragon-dao-breach/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/10/one-vote-1-58m-gone-top-token-hit-by-alleged-governance-attack/

Dépôts liés