Ataque de gobernanza cuesta 1,58 millones de dólares al proyecto cripto Token of Power

El proyecto cripto Token of Power (TOP) fue víctima de un ataque de gobernanza a gran escala, en el que un hacker logró sustraer aproximadamente 1,58 millones de dólares en Ethereum. Al tomar el control del sistema de votación del protocolo, el atacante pudo generar miles de millones de nuevos tokens TOP y cambiarlos inmediatamente por Ethereum.

La empresa de seguridad blockchain Blockaid descubrió el ataque e informó que se retiraron aproximadamente 944 Wrapped Ethereum (WETH) de un fondo de liquidez. A los valores de mercado actuales, esto equivale a unos 1,58 millones de dólares.

Hacker obtiene la mayoría de los derechos de voto

El ataque fue posible debido a un sistema de gobernanza mal configurado. La gobernanza determina cómo se toman decisiones en un proyecto cripto. Los poseedores de tokens pueden votar sobre propuestas que afectan al protocolo.

Según Blockaid, TOP tenía solo 16.384 tokens en circulación. El atacante logró reunir 8.192, obteniendo así más del 50% de los derechos de voto y efectivamente tomando el control de la gobernanza del protocolo.

Normalmente, dichos sistemas tienen capas adicionales de seguridad que evitan que las propuestas se ejecuten de inmediato. En Token of Power, estas medidas estaban ausentes. Esto permitió al atacante presentar, aprobar y ejecutar una propuesta en una sola transacción.

Miles de millones de nuevos tokens generados

Una vez obtenida el control, el hacker activó una función que permitió la creación de nuevos tokens TOP. En total, se generaron 10 mil millones de tokens TOP y se enviaron a la billetera del atacante.

Estos nuevos tokens fueron luego vendidos a través del fondo de liquidez TOP/WETH en Balancer, agotando casi todo el Ethereum disponible en el fondo.

Balancer en sí no fue objetivo del ataque. Según los investigadores, no se encontró ninguna vulnerabilidad en el protocolo comercial. La causa recayó completamente en la estructura de gobernanza de Token of Power.

Ganancia real menor que el monto robado

El especialista en seguridad blockchain BlockSec informa que el atacante tuvo que invertir aproximadamente 662 WETH para reunir suficientes tokens TOP y obtener la mayoría de los derechos de voto. Aunque finalmente se sustrajeron unos 944 WETH del fondo de liquidez, la ganancia neta estimada se sitúa en torno a 282 WETH.

El investigador on-chain 0xsadikbaba informa que durante el ataque se realizaron múltiples transacciones grandes a través de Balancer, lo que finalmente resultó en la desaparición de aproximadamente 945 ETH del fondo de liquidez.

Ethereum robado transferido a través de Tornado Cash

Tras el ataque, los fondos robados fueron rápidamente transferidos a través de Tornado Cash, un servicio de privacidad que dificulta el seguimiento de transacciones cripto. Según los investigadores, se realizaron múltiples depósitos en aproximadamente una hora, incluidas transacciones de 100 y 10 ETH. Al final de esa serie, la billetera del atacante prácticamente no contenía Ethereum.

Nuevas preocupaciones sobre la seguridad de la gobernanza DeFi

El ataque a Token of Power aumenta las preocupaciones sobre la seguridad de los sistemas de gobernanza dentro del sector DeFi. Especialmente los proyectos más pequeños están en riesgo cuando un número limitado de tokens es suficiente para obtener el control de un protocolo.

BlockSec insta a los proyectos que utilizan marcos de gobernanza como Aragon a reevaluar su seguridad. Entre otras cosas, se deben revisar los derechos de voto, los requisitos de quórum, las facultades para crear nuevos tokens y otros mecanismos de protección.

Los expertos en seguridad también señalan la importancia de los llamados timelocks. Este retraso incorporado impide que las propuestas se ejecuten de inmediato y ofrece a los usuarios la oportunidad de detectar cambios sospechosos a tiempo.

El incidente demuestra que los errores en la gobernanza de un proyecto cripto, incluso sin vulnerabilidades técnicas en protocolos subyacentes como Balancer, pueden causar pérdidas millonarias para los inversores y proveedores de liquidez.