Exploit de gobernanza de Token of Power drena $1.58 millones en WETH, según TRM

bitcoinistPublicado a 2026-06-14Actualizado a 2026-06-14

Resumen

La empresa de inteligencia de blockchain TRM Labs ha detallado un ataque de toma de control de gobernanza contra el protocolo Token of Power, que drenó aproximadamente 1,58 millones de dólares en WETH. Según el análisis, el atacante explotó una debilidad en la configuración de la DAO de Aragon del protocolo: la ausencia de un timelock. Esto permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque. El atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP y los cambió por WETH a través de un grupo de Balancer antes de devolver los fondos mediante Tornado Cash. La explotación ejemplifica cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. Los timelocks están diseñados para dar tiempo a los usuarios y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Para los usuarios de DeFi, este caso recuerda que el riesgo no se limita a los errores de código; los parámetros de gobernanza y los controles del tesoro son igual de cruciales. El siguiente paso será monitorear si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles sobre remediación. Este informe se basa en datos del reporte de seguridad de TRM Labs.

La firma de inteligencia blockchain TRM Labs ha detallado una explotación de toma de control de gobernanza contra el protocolo Token of Power que drenó aproximadamente $1.58 millones en WETH.

Según el análisis de TRM, el atacante explotó una debilidad en la configuración de Aragon DAO del protocolo: la ausencia de un timelock (retardo de ejecución). Eso permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Según los informes, el atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener el poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP, y cambió esos tokens por WETH a través de un pool de Balancer antes de redirigir los fondos nuevamente a través de Tornado Cash.

Por qué importan los Timelocks

La explotación es un claro ejemplo de cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. La votación por tokens puede parecer descentralizada en teoría, pero si un actor malicioso puede comprar rápidamente poder de voto y ejecutar cambios sin demora, el sistema de gobernanza puede convertirse en una superficie de ataque.

Los timelocks están destinados a dar tiempo a usuarios, desarrolladores y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Sin ese retraso, una votación hostil puede convertirse en un drenaje antes de que nadie pueda detenerla.

Por qué esto importa

Para los usuarios de DeFi, esta historia es un recordatorio de que el riesgo de los contratos inteligentes no se limita a errores de código. Los parámetros de gobernanza, los controles del tesoro y los umbrales de votación pueden ser igual de importantes.

También subraya cómo se pueden utilizar mezcladores (mixers) y pools de liquidez en torno a una explotación sin ser ellos mismos el protocolo explotado.

Qué observar a continuación

Lo próximo a observar es si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles de remediación.

El artículo no debe decir que Tornado Cash en sí fue hackeado.

Contexto de mercado

Para Bitcoinist, la historia se enmarca en un cambio más amplio en el mundo cripto donde la infraestructura, la seguridad, la gobernanza y la utilidad del token se están volviendo tan importantes como la acción del precio a corto plazo. Los traders aún se preocupan por el impulso, pero también necesitan entender los sistemas, riesgos y cambios de producto detrás de los titulares.

El ángulo útil no es exagerar el desarrollo, sino explicar por qué pertenece a la conversación diaria del mercado. Las historias fuertes de cripto provienen cada vez más de actualizaciones de protocolos, avisos oficiales, informes de seguridad, registros judiciales y datos on-chain, en lugar de solo comentarios reciclados.

La conclusión editorial debe mantenerse objetiva: la fuente confirma un desarrollo significativo en el mundo cripto, pero las implicaciones dependen de la adopción, las divulgaciones posteriores o más evidencia on-chain. Ese equilibrio mantiene el artículo útil sin depender del hype o afirmaciones sin fundamento.

Desde un punto de vista editorial, esto hace que la historia valga la pena cubrirse como parte del entorno operativo cripto más amplio del día, en lugar de como un ciclo de hype independiente. La versión más sólida del artículo debe mantenerse cerca de la fuente verificada, explicar el riesgo u oportunidad práctica, y dejar espacio para el seguimiento una vez que estén disponibles más datos oficiales, presentaciones o declaraciones del proyecto.

Este informe se basa en información del informe de seguridad on-chain de TRM Labs.

Preguntas relacionadas

Q¿Qué vulnerabilidad específica en la configuración del DAO de Aragon aprovechó el atacante en el protocolo Token of Power?

AEl atacante aprovechó la ausencia de un período de espera (timelock), lo que le permitió proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Q¿Qué cantidad de fondos fueron drenados en el ataque y en qué criptomoneda se concretó la pérdida?

AFueron drenados aproximadamente 1,58 millones de dólares en WETH (Wrapped Ether).

Q¿Cuál es una de las principales lecciones o recordatorios para los usuarios de DeFi que se desprende de este incidente?

AEste incidente recuerda que el riesgo en DeFi no se limita a los errores en el código de los contratos inteligentes. Parámetros de gobernanza, controles de tesorería y umbrales de votación pueden ser igual de importantes.

Q¿Cómo obtuvo el atacante el poder de voto mayoritario necesario para llevar a cabo la propuesta maliciosa?

AEl atacante compró suficientes tokens TOP para obtener el poder de voto mayoritario. Financió la operación con 662 ETH retirados de Tornado Cash.

QSegún el artículo, ¿qué herramienta debería dar tiempo para reaccionar a los usuarios y equipos de seguridad antes de que una propuesta se vuelva ejecutable?

ALos períodos de espera o timelocks están diseñados para dar ese tiempo de reacción a usuarios, desarrolladores y equipos de seguridad antes de que una propuesta de gobernanza pueda ejecutarse.

Lecturas Relacionadas

¿Qué tiene que ver Huang Zheng, el creador de Pinduoduo, con la blockchain?

Resumen: La conexión entre Huang Zheng, fundador de Pinduoduo, y la blockchain En su artículo "Voltear el capitalismo", Huang Zheng, fundador de Pinduoduo, expone la lógica central de su plataforma: no es solo sobre productos baratos, sino un "negocio de seguros" que gestiona la incertidumbre. Argumenta que la riqueza fluye hacia los ricos porque estos asumen la "incertidumbre" (riesgos como enfermedades o pérdidas) por otros. La gente común paga por certeza (seguros, ahorros), transfiriendo valor hacia arriba. Pinduoduo intenta "voltear" esto mediante un "seguro inverso": agrega la demanda masiva de consumidores a través de funciones como "compras en grupo" para crear pedidos certeros y a gran escala. Esta "certeza agregada" permite a los fabricantes reducir los costos de riesgo y ofrecer precios más bajos. Huang señala que el eslabón final para hacer viable este modelo a gran escala podría ser la **blockchain**. El problema clave del "seguro inverso" es que las promesas individuales carecen de valor: son fáciles de romper. La blockchain, mediante **contratos inteligentes**, puede hacer que los compromisos sean creíbles, ejecutables y con un coste por incumplimiento. Transforma la confianza, pasando de depender de personas o intermediarios a depender de reglas codificadas e inmutables. Así, mientras Pinduoduo crea certeza mediante la **agregación masiva** de voluntades dispersas, la blockchain (ejemplificada por sistemas como Bitcoin) la crea mediante **reglas predefinidas e inalterables**. Ambas son caminos distintos para generar confianza y reducir la incertidumbre en las transacciones económicas.

链捕手Hace 5 min(s)

¿Qué tiene que ver Huang Zheng, el creador de Pinduoduo, con la blockchain?

链捕手Hace 5 min(s)

El gigante del almacenamiento que forjó un imperio de billones, al final no pudo convertirse en el hombre más rico

**Resumen en español (cerca de 1500 caracteres):** **Título: El magnate del almacenamiento que construyó un imperio billonario, pero que nunca será el más rico** El artículo analiza la trayectoria de Zhu Yiming, fundador de dos gigantes chinos de chips de memoria: GigaDevice (兆易创新) y ChangXin Memory Technologies (长鑫科技). Aunque ChangXin se prepara para una OPV que podría valorarla en más de un billón de yuanes, Zhu, con una participación indirecta de menos del 3%, no se convertirá en uno de los individuos más ricos de China. Su estrategia se centró en un enfoque pragmático y "oportunista". En 2005, fundó GigaDevice con capital limitado. En lugar de competir directamente en el segmento premium, la compañía se especializó inteligentemente en productos de memoria de baja y media gama (como NOR Flash y SLC NAND), nichos que los grandes actores globales (Samsung, Micron) fueron abandonando. Más tarde, GigaDevice se diversificó hacia microcontroladores (MCU), sensores y chips analógicos, principalmente a través de adquisiciones. A pesar de la fuerte ciclicidad del sector, GigaDevice ha demostrado ser una compañía sólida, manteniendo márgenes brutos superiores al 40% y controlando estrictamente sus gastos, lo que le ha permitido generar beneficios operativos consistentemente. Sin embargo, Zhu comprendió que el modelo "fabless" (sin fábricas propias) de GigaDevice tenía limitaciones inherentes en la industria de la memoria, donde la expansión anticíclica y las enormes inversiones en fabricación (modelo IDM) son claves para sobrevivir a largo plazo. Por ello, en 2016, colaboró con el gobierno de Hefei para fundar ChangXin, un proyecto IDM masivo enfocado en DRAM. Para atraer la confianza y la financiación masiva necesaria (préstamos a largo plazo superiores a 100.000 millones de yuanes), Zhu tomó decisiones poco comunes: no cobró un sueldo como CEO de ChangXin hasta que la empresa fuera rentable, utilizó la mitad de sus opciones sobre acciones (valoradas en más de 10.000 millones de yuanes) para recompensar a los empleados, y extendió su periodo de bloqueo de acciones a 10 años. Este compromiso, que diluyó significativamente su participación y control personal, fue fundamental para que ChangXin acumulara activos de planta y equipo por valor de casi 170.000 millones de yuanes, superando incluso a gigantes como BYD en este aspecto. En conclusión, la historia de Zhu Yiming es la de un visionario que, a través de una estrategia astuta y un sacrificio personal significativo (renunciando a un potencial patrimonio personal mucho mayor), logró construir dos pilares fundamentales para la industria china de semiconductores, priorizando el éxito industrial a largo plazo sobre la riqueza individual máxima.

marsbitHace 11 min(s)

El gigante del almacenamiento que forjó un imperio de billones, al final no pudo convertirse en el hombre más rico

marsbitHace 11 min(s)

Los honorarios diarios de XRP Ledger caen por debajo de los 400 dólares mientras resurge el debate sobre la actividad de la red

El libro mayor de XRP vuelve a ser analizado después de que datos de tarifas mostraran que las comisiones diarias de la red cayeron por debajo de los 400 dólares. Aunque las tarifas bajas son un diseño fundamental de XRPL y suelen considerarse una fortaleza, la generación de comisiones también puede utilizarse como indicador de la actividad, la demanda y el uso de transacciones pagadas en la red. La quema semanal de aproximadamente 3.100 dólares subraya el contraste con cadenas de altas comisiones como Ethereum y Bitcoin. Para los partidarios, las tarifas bajas significan que XRPL sigue siendo eficiente y accesible, mientras que para los críticos, una generación de tarifas muy baja puede plantear dudas sobre si la red está experimentando suficiente demanda de alto valor en relación con su capitalización de mercado y su narrativa de pagos de larga data. Esta tensión es la que hace que los datos importen. La historia de XRP a menudo depende de los pagos, la liquidez y la adopción empresarial; los datos de tarifas en cadena ofrecen a los operadores una forma de evaluar si la red está viendo actividad transaccional significativa. Es importante no exagerar la conclusión: un día de tarifas bajas no significa que la red esté fallando, sino que agrega un punto de datos al debate sobre el uso de XRPL. También crea un contraste útil con el impulso más amplio de Ripple hacia RLUSD, pagos con agentes de IA e infraestructura de liquidación empresarial. Se debe observar si la cifra de tarifas se recupera, si los recuentos de transacciones cuentan una historia diferente y si exploradores nativos como Bithomp confirman la misma tendencia. La historia pertenece a la conversación diaria del mercado, destacando cómo las fuertes narrativas en cripto provienen cada vez más de datos en cadena y actualizaciones de protocolos, no solo de comentarios.

bitcoinistHace 4 hora(s)

Los honorarios diarios de XRP Ledger caen por debajo de los 400 dólares mientras resurge el debate sobre la actividad de la red

bitcoinistHace 4 hora(s)

Ripple Lanza el Kit de Inicio XRPL con IA para Pagos de Agentes con XRP y RLUSD

Ripple ha lanzado el XRPL AI Starter Kit, un kit de herramientas para desarrolladores diseñado para permitir que agentes de software realicen pagos utilizando XRP y Ripple USD (RLUSD). Este lanzamiento marca la Fase 1 de la incursión de Ripple en los pagos automatizados o "agénticos" en la red XRP Ledger. El kit integra soporte para el estándar de pago x402 e incluye el servidor XRPL Docs MCP, que puede conectar sistemas de IA directamente con la documentación técnica de XRPL. La iniciativa busca dotar a XRP de una utilidad práctica en el emergente campo de las transacciones máquina a máquina, donde los agentes de IA podrían necesitar pagar APIs, servicios o datos de forma autónoma. Para los partidarios de XRP, este movimiento representa un esfuerzo por ir más allá de la especulación y construir una infraestructura de pagos para desarrolladores. El siguiente paso clave será monitorear la actualización de documentación, ejemplos de código, el uso en la red de pruebas y la retroinformación de la comunidad de desarrolladores para evaluar la adopción real de esta herramienta.

bitcoinistHace 7 hora(s)

Ripple Lanza el Kit de Inicio XRPL con IA para Pagos de Agentes con XRP y RLUSD

bitcoinistHace 7 hora(s)

Fundador de Zcash afirma que la auditoría de IA de Anthropic no encontró errores graves en el protocolo

Zcash anunció que una auditoría de seguridad realizada por el modelo de IA Mythos de Anthropic no encontró errores graves en su protocolo. La revisión, solicitada por Shielded Labs, fue revelada por el fundador Zooko Wilcox. Este resultado ofrece a Zcash un respaldo de seguridad en un contexto de creciente presión regulatoria sobre las criptomonedas de privacidad. Si bien la auditoría con IA no reemplaza el trabajo humano de seguridad, se está convirtiendo en una herramienta valiosa para escanear código complejo. Para protocolos centrados en la privacidad como Zcash, mantener un alto estándar de seguridad es crucial para la confianza de los usuarios. La noticia también refleja la integración de la IA en el desarrollo de infraestructura cripto, añadiendo una capa adicional de análisis. Los próximos pasos incluyen ver si se publican detalles técnicos más específicos sobre el alcance de la auditoría.

bitcoinistHace 10 hora(s)

Fundador de Zcash afirma que la auditoría de IA de Anthropic no encontró errores graves en el protocolo