北京
奔跑财经6月11日消息,名为“Token of Power”(TOP)的以太坊ERC-20代币项目,其背后的Balancer V1流动性池遭遇毁灭性打击。据Cyvers、PeckShield和Blockaid多家链上安全公司同步监测,攻击者通过一种罕见的“治理接管”手段,直接操控了TOP代币的流动性池,瞬间卷走了944.2枚WETH,按当时价格计算,价值高达约158万美元!
用治理权把池子里的真金白银全换了
大多数人对黑客攻击的想象,还停留在“破解代码”、“盗取私钥”。但这次攻击者的玩法,堪称“降维打击”。
根据链上情报,攻击者并没有直接攻击任何钱包或合约漏洞。他的操作路径极其清晰:先利用某种手段获得了对TOP代币的治理控制权,然后向Balancer V1池中大量注入被高度稀释的TOP代币,再将自己手中的这些“垃圾币”对池子里的真金白银——Wrapped Ethereum(WETH)——进行大额兑换。
简单来说:他先让自己成为“印钞机”,然后把印出来的废纸,换成了池子里最值钱的硬通货。
Balancer的这个V1池子,原本是一个50/50的自动化做市池,里面放着等价值的TOP代币和WETH。攻击者利用治理操控能力,硬生生把自己手中的大量TOP塞进池子,稀释了原本池中TOP的价值,然后通过交换机制,把WETH全部抽走了。
944.2个WETH,158万美元,一瞬间装进了黑客的口袋。
只剩下一堆毫无价值的“空气币”
攻击结束后,整个Balancer池的状况只能用“惨烈”来形容。
池子里原本应该对半存放的两类资产,现在彻底失衡:WETH几乎被洗劫一空,只剩下海量被严重稀释的TOP代币。 这些代币在黑客攻击后,市场价值几乎归零,任何持有者都无法再从中提取出有意义的流动性。
BC损失最惨重的,是那些为这个池子提供过流动性的“流动性提供者”(LPs)。他们原本的资金池,现在变成了一堆几乎没有买家、没有市场的代币。项目方目前尚未公布任何关于赔付、补偿或下一步计划的官方声明。
PeckShield的数据进一步证实了资金的去向:攻击者迅速将窃取的WETH换回ETH,然后全部转移到了臭名昭著的加密货币混币器——Tornado Cash。 一旦资金进入这个“隐私黑洞”,追踪和追回的难度将呈几何级上升。
TOP代币的这起攻击,发生在一个极为敏感的时间节点——它距离另一起震惊行业的巨额失窃案件,仅仅隔了一天!
就在昨天,基础设施项目“Humanity Protocol”刚刚曝出,因一名员工的笔记本电脑被入侵,导致高达3600万美元的用户资金被盗。两起案件,一个是从员工设备的个人端点突破(传统网络攻击),一个是直接操控代币治理来洗劫流动性池(链上协议攻击)。
一左一右,两记重拳,几乎把加密世界最脆弱的两个环节都打在了脸上。Blockchain security firms(区块链安全公司)这几天几乎是在连轴转地发警报,PeckShield、Cyvers和Blockaid都成了出镜率最高的名字。
一边是个人安全的底线被突破,一边是合约治理的权力被滥用——留给这个行业的安全整改时间,已经不多了。
谁是“Token of Power”?谁在负责?
可惜的是,截至目前,关于“Token of Power”(TOP)这个项目的官方消息几乎是一片空白。
我们只知道,这个项目围绕一个被称为“The Mask of Power”的DAO(去中心化自治组织)运作,代币经济与一个特定的MetaMask NFT(数字藏品)挂钩,TOP代币为项目的市场活动提供了最初流动性。但至于项目团队是谁?他们是否已联系权威部门?后续是否有追回资金的可能?受害者流动性提供者该怎么办?——全都没有答案。
PeckShield数据显示,资金进了Tornado Cash后再无其他大额转出记录。安全公司也未发布关于本次攻击的完整技术分析报告。目前所有公开信息,都来自三家安全公司在X平台上的简短文字预警。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
