Het cryptoproject Token of Power (TOP) is getroffen door een grootschalige governance-aanval, waarbij een hacker voor ongeveer 1,58 miljoen dollar aan Ethereum wist buit te maken. Door de controle te krijgen over het stemsysteem van het protocol kon de aanvaller miljarden nieuwe TOP-tokens aanmaken en die meteen omwisselen voor Ethereum.
Blockchainbeveiligingsbedrijf Blockaid ontdekte de aanval en meldde dat ongeveer 944 Wrapped Ethereum (WETH) uit een liquiditeitspool werd gehaald. Tegen de huidige marktwaarde komt dat neer op ongeveer 1,58 miljoen dollar.
De aanval was mogelijk door een zwak ingericht governance-systeem. Governance bepaalt hoe beslissingen binnen een cryptoproject worden genomen. Tokenhouders kunnen daarbij stemmen over voorstellen die invloed hebben op het protocol.
Volgens Blockaid had TOP slechts 16.384 tokens in omloop. De aanvaller wist er 8.192 te verzamelen, waarmee hij meer dan 50 procent van de stemrechten kreeg en feitelijk de controle over het bestuur van het protocol overnam.
Normaal gesproken bevatten dergelijke systemen extra beveiligingslagen die voorkomen dat voorstellen meteen worden uitgevoerd. Bij Token of Power ontbraken die maatregelen. Daardoor kon de aanvaller binnen één enkele transactie een voorstel indienen, goedkeuren en uitvoeren.
Nadat hij de controle had verkregen, activeerde de hacker een functie waarmee nieuwe TOP-tokens konden worden aangemaakt. In totaal werden 10 miljard TOP-tokens gecreëerd en naar de wallet van de aanvaller gestuurd.
Die nieuwe tokens werden vervolgens verkocht via de TOP/WETH-liquiditeitspool op Balancer. Daardoor werd vrijwel alle beschikbare Ethereum uit de pool onttrokken.
Balancer zelf was geen doelwit van de aanval. Volgens de onderzoekers werd er geen kwetsbaarheid gevonden in het handelsprotocol. De oorzaak lag volledig bij de governance-structuur van Token of Power.
Blockchainbeveiliger BlockSec meldt dat de aanvaller vooraf ongeveer 662 WETH moest investeren om genoeg TOP-tokens te verzamelen en de meerderheid van de stemrechten te bemachtigen. Hoewel er uiteindelijk zo’n 944 WETH uit de liquiditeitspool werd gehaald, ligt de geschatte nettowinst daardoor rond de 282 WETH.
Onchain-onderzoeker 0xsadikbaba meldt dat tijdens de aanval meerdere grote transacties via Balancer werden uitgevoerd, waardoor uiteindelijk ongeveer 945 ETH uit de liquiditeitspool verdween.
Na de aanval werden de gestolen fondsen snel verplaatst via Tornado Cash, een privacydienst die het moeilijker maakt om cryptotransacties te volgen. Volgens onderzoekers werden binnen ongeveer een uur meerdere stortingen uitgevoerd, waaronder transacties van 100 en 10 ETH. Tegen het einde van die reeks bevatte de wallet van de aanvaller vrijwel geen Ethereum meer.
De aanval op Token of Power vergroot de zorgen over de veiligheid van governance-systemen binnen de DeFi-sector. Vooral kleinere projecten lopen risico wanneer een beperkt aantal tokens al genoeg is om de controle over een protocol te krijgen.
BlockSec roept projecten die gebruikmaken van governance-frameworks zoals Aragon op om hun beveiliging opnieuw te beoordelen. Daarbij moeten onder meer de stemrechten, quorumvereisten, de bevoegdheden voor het aanmaken van nieuwe tokens en andere beschermingsmechanismen tegen het licht worden gehouden.
Ook wijzen beveiligingsexperts op het belang van zogenoemde timelocks. Die ingebouwde vertraging voorkomt dat voorstellen meteen kunnen worden uitgevoerd en geeft gebruikers de kans om verdachte wijzigingen op tijd te signaleren.
Het incident laat zien dat fouten in de governance van een cryptoproject, zelfs zonder technische kwetsbaarheid in onderliggende protocollen zoals Balancer, kunnen leiden tot miljoenenverliezen voor beleggers en liquiditeitsverschaffers.
Fans van het FIFA Wereldkampioenschap 2026 moeten alert zijn op een groeiend aantal online oplichtingspraktijken.
Cybercriminelen zetten kunstmatige intelligentie steeds vaker in om cyberaanvallen uit te voeren. Dat blijkt uit nieuw onderzoek van AI-bedrijf Anthropic.
Het cryptoleenplatform Radiant Capital heeft aangekondigd dat het stopt met de verdere ontwikkeling van zijn protocol.
De Bitcoin koers houdt stand rond cruciale steun, terwijl Newsbit-analist Juffermans een mogelijke bodem later dit jaar verwacht.
Goud is opnieuw stevig aan het dalen, terwijl Wall Street optimistisch blijft. Komt er later dit jaar alsnog een grote stijging aan?
XRP beleggers verkopen steeds vaker met verlies, een signaal dat volgens on-chain data vaak dicht bij bodems verschijnt.
