Эксплойт управления: злоумышленник выпустил 10 млрд TOP и вывел из пула Balancer около $1,5 млн

Злоумышленник провёл атаку с захватом управления и выпустил 10 млрд токенов TOP, после чего вывел из пула ликвидности Balancer в сети Ethereum около $1,5 млн в WETH, сообщили исследователи безопасности. По данным Blockaid, из пула TOP/WETH Balancer V1 было выведено 944,2 WETH на сумму примерно $1,58 млн. Эксперты подчёркивают, что уязвимость не затрагивала Balancer: целью стала конфигурация управления в экосистеме Token of Power (TOP). Blockaid и CertiK утверждают, что перед атакой злоумышленник сосредоточил у себя более 50% предложения TOP, после чего провёл управленческое предложение, которое выпустило миллиарды новых TOP напрямую на контракт, контролируемый атакующим. Эксплойт, как сообщается, опирался на некорректную настройку Aragon DAO, связанную со структурой MiniMeToken у TOP. Ключевой проблемой стало отсутствие timelock-механизма: система позволяла создать предложение, проголосовать и исполнить его в рамках одной транзакции. Это дало возможность быстро получить контроль над голосованием, мгновенно исполнить предложение о минте, создать 10 млрд TOP и продать свежевыпущенные токены в пул ликвидности, получив WETH. В Blockaid отметили, что приложение Aragon Voting допускало цепочку "create → vote → execute" в одном tx без задержек. CertiK отдельно сообщила, что на первом этапе атакующий вывел 662 ETH из Tornado Cash, а затем нарастил позицию в TOP до уровня, достаточного для контроля управления. Инцидент подчёркивает, что системы управления в DeFi могут становиться самостоятельной поверхностью атаки. В отличие от классических эксплойтов смарт-контрактов, основанных на ошибках кода или реентранси, захваты управления используют уже встроенные административные права и механизмы голосования. Timelock обычно сдерживает скорость исполнения решений DAO и даёт сообществу время на реакцию; в данном случае отсутствие задержек позволило атаке развиться мгновенно. Случай также вновь акцентирует риски, связанные с устаревшими фреймворками управления DAO и legacy-инфраструктурой DeFi в Ethereum. Aragon и системы управления на базе MiniMeToken широко применялись на ранних этапах развития DAO, но часть внедрений может не соответствовать современным требованиям безопасности. На фоне этого растёт внимание к защите механизмов контроля протоколов: атакующие всё чаще нацеливаются на управление, а не только на прямые уязвимости смарт-контрактов. Итог: из-за ошибки конфигурации управления злоумышленник выпустил 10 млрд TOP и вывел из пула Balancer около $1,5 млн в WETH. Исследователи связывают эксплойт с настройками Aragon DAO, позволявшими создавать, голосовать и исполнять предложения в одной транзакции без timelock.