Token of Power Exploit entzieht Balancer-Pool 1,58 Mio. USD

Token of Power erlitt am Dienstag einen Exploit, bei dem mehr als 1,5 Millionen Dollar aus seinem Liquiditätspool abgezogen wurden. Die On-Chain-Firmen Blockaid, PeckShield und Cyvers meldeten den Vorfall in Beiträgen auf X.

• Token of Power verlor 944,2 WETH im Wert von etwa 1,58 Millionen Dollar aus seinem TOP/WETH Balancer V1 Pool.
• Blockaid beschrieb den Vorfall als Governance-Übernahmeangriff, während Cyvers den Abfluss auf den Balancer Pool zurückverfolgte.
• PeckShield-Daten zeigten, dass der Angreifer die gestohlenen Gelder später in den Tornado Cash Krypto-Mixer transferierte.

Der Angriff zielte auf den TOP/WETH Balancer V1 Pool und entzog 944,2 WETH.

TOP-Token-Exploit trifft Balancer Pool

Token of Power, auch bekannt als TOP, ist ein auf Ethereum basierender ERC-20-Token. Das Projekt wird unter einer DAO namens The Mask of Power betrieben. Das Projekt baute TOP rund um den kollektiven Besitz eines bestimmten MetaMask-NFTs auf. Sein Token unterstützte auch die Liquidität für die Marktaktivitäten des Projekts. 

Cyvers gab an, dass der Angreifer Gelder aus dem TOP/WETH Balancer V1 Pool abgezogen hat. Der Pool hielt TOP-Token und Wrapped Ethereum in einer 50-50-Struktur. Wrapped Ethereum, oder WETH, repräsentiert ETH in einem Token-Format, das im DeFi-Bereich verwendet wird. 

Der Balancer V1 Pool fungierte als automatisierter Handelstresor für beide Vermögenswerte. Blockaid beschrieb den Vorfall in seinem X-Beitrag als „Governance-Übernahmeangriff". PeckShield und Cyvers veröffentlichten ebenfalls Warnmeldungen, als die Transaktionsaktivität On-Chain sichtbar wurde.

On-Chain-Firmen melden Verlust von 944,2 WETH

On-Chain-Intelligence-Firmen gaben an, dass der Angreifer eine große Anzahl von TOP-Token in den Pool eingebracht hat. Der Angreifer tauschte diese Token dann gegen die realen WETH-Reserven des Pools. Der Exploit entzog 944,2 WETH, was zum damaligen Zeitpunkt etwa 1,58 Millionen Dollar wert war. 

Nach dem Abzug hielt der Pool stark verwässerte TOP-Token. Der Vorfall ließ Liquiditätsanbieter mit Token von geringem Marktwert zurück. Weitere Projektdetails zur Wiederherstellung, Entschädigung oder zu nächsten Schritten sind noch nicht verfügbar.

PeckShield-Daten zeigten, dass der Angreifer die gestohlenen Gelder später in Tornado Cash transferierte. Tornado Cash ist ein Krypto-Mixer, der die Rückverfolgung von Geldern erschweren kann. Der Transfer zu Tornado Cash folgte dem anfänglichen Abzug aus dem Balancer Pool. Sicherheitsfirmen haben noch keinen vollständigen technischen Bericht über den Vorfall veröffentlicht.

Exploit folgt separatem Humanity Protocol-Verstoß

Der Token of Power-Vorfall ereignete sich einen Tag nach einem weiteren gemeldeten DeFi-Sicherheitsverstoß. Wie von crypto.news berichtet,  verlor Humanity Protocol durch den Verstoß über den Laptop eines Mitarbeiters 36 Millionen Dollar an Nutzergeldern. Die beiden Vorfälle betrafen unterschiedliche Projekte und nutzten unterschiedliche gemeldete Angriffswege. 

Beide Fälle zogen diese Woche jedoch die Aufmerksamkeit von Blockchain-Sicherheitsfirmen auf sich. Der Humanity Protocol-Verstoß betraf ein digitales Identitätsprojekt, das auf Blockchain-Infrastruktur aufgebaut ist. Im Gegensatz dazu konzentrierte sich der Token of Power-Exploit auf einen Liquiditätspool.

Das TOP-Projekt hat in den bereitgestellten Details noch keine vollständige Überprüfung des Vorfalls veröffentlicht. Weitere Informationen über den Weg des Angreifers und eine mögliche Reaktion des Projekts stehen noch aus. Blockaid, PeckShield und Cyvers sind weiterhin die Hauptquellen für den Vorfall. Ihre Warnmeldungen identifizierten den betroffenen Pool, den geschätzten Verlust und die Geldbewegung.