奔跑財經6月11日消息,名為“Token of Power”(TOP)的以太坊ERC-20代幣項目,其背后的Balancer V1流動性池遭遇毀滅性打擊。據Cyvers、PeckShield和Blockaid多家鏈上安全公司同步監測,攻擊者通過一種罕見的“治理接管”手段,直接操控了TOP代幣的流動性池,瞬間卷走了944.2枚WETH,按當時價格計算,價值高達約158萬美元!
用治理權把池子里的真金白銀全換了
大多數人對黑客攻擊的想象,還停留在“破解代碼”、“盜取私鑰”。但這次攻擊者的玩法,堪稱“降維打擊”。
根據鏈上情報,攻擊者并沒有直接攻擊任何錢包或合約漏洞。他的操作路徑極其清晰:先利用某種手段獲得了對TOP代幣的治理控制權,然后向Balancer V1池中大量注入被高度稀釋的TOP代幣,再將自己手中的這些“垃圾幣”對池子里的真金白銀——Wrapped Ethereum(WETH)——進行大額兌換。
簡單來說:他先讓自己成為“印鈔機”,然后把印出來的廢紙,換成了池子里最值錢的硬通貨。
Balancer的這個V1池子,原本是一個50/50的自動化做市池,里面放著等價值的TOP代幣和WETH。攻擊者利用治理操控能力,硬生生把自己手中的大量TOP塞進池子,稀釋了原本池中TOP的價值,然后通過交換機制,把WETH全部抽走了。
944.2個WETH,158萬美元,一瞬間裝進了黑客的口袋。
只剩下一堆毫無價值的“空氣幣”
攻擊結束后,整個Balancer池的狀況只能用“慘烈”來形容。
池子里原本應該對半存放的兩類資產,現在徹底失衡:WETH幾乎被洗劫一空,只剩下海量被嚴重稀釋的TOP代幣。 這些代幣在黑客攻擊后,市場價值幾乎歸零,任何持有者都無法再從中提取出有意義的流動性。
BC損失最慘重的,是那些為這個池子提供過流動性的“流動性提供者”(LPs)。他們原本的資金池,現在變成了一堆幾乎沒有買家、沒有市場的代幣。項目方目前尚未公布任何關于賠付、補償或下一步計劃的官方聲明。
PeckShield的數據進一步證實了資金的去向:攻擊者迅速將竊取的WETH換回ETH,然后全部轉移到了臭名昭著的加密貨幣混幣器——Tornado Cash。 一旦資金進入這個“隱私黑洞”,追蹤和追回的難度將呈幾何級上升。
TOP代幣的這起攻擊,發生在一個極為敏感的時間節點——它距離另一起震驚行業的巨額失竊案件,僅僅隔了一天!
就在昨天,基礎設施項目“Humanity Protocol”剛剛曝出,因一名員工的筆記本電腦被入侵,導致高達3600萬美元的用戶資金被盜。兩起案件,一個是從員工設備的個人端點突破(傳統網絡攻擊),一個是直接操控代幣治理來洗劫流動性池(鏈上協議攻擊)。
一左一右,兩記重拳,幾乎把加密世界最脆弱的兩個環節都打在了臉上。Blockchain security firms(區塊鏈安全公司)這幾天幾乎是在連軸轉地發警報,PeckShield、Cyvers和Blockaid都成了出鏡率最高的名字。
一邊是個人安全的底線被突破,一邊是合約治理的權力被濫用——留給這個行業的安全整改時間,已經不多了。
誰是“Token of Power”?誰在負責?
可惜的是,截至目前,關于“Token of Power”(TOP)這個項目的官方消息幾乎是一片空白。
我們只知道,這個項目圍繞一個被稱為“The Mask of Power”的DAO(去中心化自治組織)運作,代幣經濟與一個特定的MetaMask NFT(數字藏品)掛鉤,TOP代幣為項目的市場活動提供了最初流動性。但至于項目團隊是誰?他們是否已聯系權威部門?后續是否有追回資金的可能?受害者流動性提供者該怎么辦?——全都沒有答案。
PeckShield數據顯示,資金進了Tornado Cash后再無其他大額轉出記錄。安全公司也未發布關于本次攻擊的完整技術分析報告。目前所有公開信息,都來自三家安全公司在X平臺上的簡短文字預警。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.