Протокол децентрализованных финансов Token of Power (TOP) подвергся атаке, в результате которой злоумышленник похитил около $1,58 млн в цифровых активах. Инцидент, зафиксированный 9 июня 2026 года, стал очередным примером уязвимости управления в проектах на базе Aragon DAO.
По данным компаний PeckShield, Blockaid и BlockSec Phalcon, хакер накопил 8 192,000001 токена TOP — чуть более половины от общего предложения в 16 384 токена. Благодаря отсутствию временной задержки (timelock) в приложении голосования Aragon, злоумышленник в рамках одной транзакции создал предложение, проголосовал за него и исполнил. Предложение позволило выпустить значительное количество новых токенов TOP, которые затем были обменяны на примерно 944 WETH (эквивалент 1,58 млн долларов) через пул ликвидности TOP/WETH на Balancer V1. Сам протокол Balancer не был скомпрометирован — пул стал лишь точкой конвертации обесценившихся токенов.
Для заметания следов атакующий направил украденные средства через криптомиксер Tornado Cash, что существенно затрудняет отслеживание и возврат активов. Подтверждено, что кошелек злоумышленника изначально пополнялся именно через этот сервис, а средства были конвертированы в 945 ETH перед отправкой в миксер. Эксперты подчеркивают, что подобная техника отмывания делает восстановление средств маловероятным, несмотря на предпринимаемые правоохранительные усилия.
Инцидент в очередной раз обнажил критическую важность настройки параметров безопасности в DAO: задержки исполнения, кворумы и ограничения доступа к чувствительным функциям. Отсутствие элементарной временной блокировки позволило злоумышленнику мгновенно реализовать схему захвата управления. Потери понесли держатели токенов, имевшие средства в пулах протокола; доверие к проекту серьезно подорвано. Официальных заявлений от команды Token of Power и Aragon на момент публикации не поступало.
