Exploit de gobernanza de Token of Power drena $1.58 millones en WETH, según TRM

bitcoinistPublicado a 2026-06-14Actualizado a 2026-06-14

Resumen

La empresa de inteligencia de blockchain TRM Labs ha detallado un ataque de toma de control de gobernanza contra el protocolo Token of Power, que drenó aproximadamente 1,58 millones de dólares en WETH. Según el análisis, el atacante explotó una debilidad en la configuración de la DAO de Aragon del protocolo: la ausencia de un timelock. Esto permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque. El atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP y los cambió por WETH a través de un grupo de Balancer antes de devolver los fondos mediante Tornado Cash. La explotación ejemplifica cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. Los timelocks están diseñados para dar tiempo a los usuarios y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Para los usuarios de DeFi, este caso recuerda que el riesgo no se limita a los errores de código; los parámetros de gobernanza y los controles del tesoro son igual de cruciales. El siguiente paso será monitorear si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles sobre remediación. Este informe se basa en datos del reporte de seguridad de TRM Labs.

La firma de inteligencia blockchain TRM Labs ha detallado una explotación de toma de control de gobernanza contra el protocolo Token of Power que drenó aproximadamente $1.58 millones en WETH.

Según el análisis de TRM, el atacante explotó una debilidad en la configuración de Aragon DAO del protocolo: la ausencia de un timelock (retardo de ejecución). Eso permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Según los informes, el atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener el poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP, y cambió esos tokens por WETH a través de un pool de Balancer antes de redirigir los fondos nuevamente a través de Tornado Cash.

Por qué importan los Timelocks

La explotación es un claro ejemplo de cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. La votación por tokens puede parecer descentralizada en teoría, pero si un actor malicioso puede comprar rápidamente poder de voto y ejecutar cambios sin demora, el sistema de gobernanza puede convertirse en una superficie de ataque.

Los timelocks están destinados a dar tiempo a usuarios, desarrolladores y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Sin ese retraso, una votación hostil puede convertirse en un drenaje antes de que nadie pueda detenerla.

Por qué esto importa

Para los usuarios de DeFi, esta historia es un recordatorio de que el riesgo de los contratos inteligentes no se limita a errores de código. Los parámetros de gobernanza, los controles del tesoro y los umbrales de votación pueden ser igual de importantes.

También subraya cómo se pueden utilizar mezcladores (mixers) y pools de liquidez en torno a una explotación sin ser ellos mismos el protocolo explotado.

Qué observar a continuación

Lo próximo a observar es si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles de remediación.

El artículo no debe decir que Tornado Cash en sí fue hackeado.

Contexto de mercado

Para Bitcoinist, la historia se enmarca en un cambio más amplio en el mundo cripto donde la infraestructura, la seguridad, la gobernanza y la utilidad del token se están volviendo tan importantes como la acción del precio a corto plazo. Los traders aún se preocupan por el impulso, pero también necesitan entender los sistemas, riesgos y cambios de producto detrás de los titulares.

El ángulo útil no es exagerar el desarrollo, sino explicar por qué pertenece a la conversación diaria del mercado. Las historias fuertes de cripto provienen cada vez más de actualizaciones de protocolos, avisos oficiales, informes de seguridad, registros judiciales y datos on-chain, en lugar de solo comentarios reciclados.

La conclusión editorial debe mantenerse objetiva: la fuente confirma un desarrollo significativo en el mundo cripto, pero las implicaciones dependen de la adopción, las divulgaciones posteriores o más evidencia on-chain. Ese equilibrio mantiene el artículo útil sin depender del hype o afirmaciones sin fundamento.

Desde un punto de vista editorial, esto hace que la historia valga la pena cubrirse como parte del entorno operativo cripto más amplio del día, en lugar de como un ciclo de hype independiente. La versión más sólida del artículo debe mantenerse cerca de la fuente verificada, explicar el riesgo u oportunidad práctica, y dejar espacio para el seguimiento una vez que estén disponibles más datos oficiales, presentaciones o declaraciones del proyecto.

Este informe se basa en información del informe de seguridad on-chain de TRM Labs.

Preguntas relacionadas

Q¿Qué vulnerabilidad específica en la configuración del DAO de Aragon aprovechó el atacante en el protocolo Token of Power?

AEl atacante aprovechó la ausencia de un período de espera (timelock), lo que le permitió proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Q¿Qué cantidad de fondos fueron drenados en el ataque y en qué criptomoneda se concretó la pérdida?

AFueron drenados aproximadamente 1,58 millones de dólares en WETH (Wrapped Ether).

Q¿Cuál es una de las principales lecciones o recordatorios para los usuarios de DeFi que se desprende de este incidente?

AEste incidente recuerda que el riesgo en DeFi no se limita a los errores en el código de los contratos inteligentes. Parámetros de gobernanza, controles de tesorería y umbrales de votación pueden ser igual de importantes.

Q¿Cómo obtuvo el atacante el poder de voto mayoritario necesario para llevar a cabo la propuesta maliciosa?

AEl atacante compró suficientes tokens TOP para obtener el poder de voto mayoritario. Financió la operación con 662 ETH retirados de Tornado Cash.

QSegún el artículo, ¿qué herramienta debería dar tiempo para reaccionar a los usuarios y equipos de seguridad antes de que una propuesta se vuelva ejecutable?

ALos períodos de espera o timelocks están diseñados para dar ese tiempo de reacción a usuarios, desarrolladores y equipos de seguridad antes de que una propuesta de gobernanza pueda ejecutarse.

Lecturas Relacionadas

Los honorarios diarios de XRP Ledger caen por debajo de los 400 dólares mientras resurge el debate sobre la actividad de la red

El libro mayor de XRP vuelve a ser analizado después de que datos de tarifas mostraran que las comisiones diarias de la red cayeron por debajo de los 400 dólares. Aunque las tarifas bajas son un diseño fundamental de XRPL y suelen considerarse una fortaleza, la generación de comisiones también puede utilizarse como indicador de la actividad, la demanda y el uso de transacciones pagadas en la red. La quema semanal de aproximadamente 3.100 dólares subraya el contraste con cadenas de altas comisiones como Ethereum y Bitcoin. Para los partidarios, las tarifas bajas significan que XRPL sigue siendo eficiente y accesible, mientras que para los críticos, una generación de tarifas muy baja puede plantear dudas sobre si la red está experimentando suficiente demanda de alto valor en relación con su capitalización de mercado y su narrativa de pagos de larga data. Esta tensión es la que hace que los datos importen. La historia de XRP a menudo depende de los pagos, la liquidez y la adopción empresarial; los datos de tarifas en cadena ofrecen a los operadores una forma de evaluar si la red está viendo actividad transaccional significativa. Es importante no exagerar la conclusión: un día de tarifas bajas no significa que la red esté fallando, sino que agrega un punto de datos al debate sobre el uso de XRPL. También crea un contraste útil con el impulso más amplio de Ripple hacia RLUSD, pagos con agentes de IA e infraestructura de liquidación empresarial. Se debe observar si la cifra de tarifas se recupera, si los recuentos de transacciones cuentan una historia diferente y si exploradores nativos como Bithomp confirman la misma tendencia. La historia pertenece a la conversación diaria del mercado, destacando cómo las fuertes narrativas en cripto provienen cada vez más de datos en cadena y actualizaciones de protocolos, no solo de comentarios.

bitcoinistHace 3 hora(s)

Los honorarios diarios de XRP Ledger caen por debajo de los 400 dólares mientras resurge el debate sobre la actividad de la red

bitcoinistHace 3 hora(s)

Ripple Lanza el Kit de Inicio XRPL con IA para Pagos de Agentes con XRP y RLUSD

Ripple ha lanzado el XRPL AI Starter Kit, un kit de herramientas para desarrolladores diseñado para permitir que agentes de software realicen pagos utilizando XRP y Ripple USD (RLUSD). Este lanzamiento marca la Fase 1 de la incursión de Ripple en los pagos automatizados o "agénticos" en la red XRP Ledger. El kit integra soporte para el estándar de pago x402 e incluye el servidor XRPL Docs MCP, que puede conectar sistemas de IA directamente con la documentación técnica de XRPL. La iniciativa busca dotar a XRP de una utilidad práctica en el emergente campo de las transacciones máquina a máquina, donde los agentes de IA podrían necesitar pagar APIs, servicios o datos de forma autónoma. Para los partidarios de XRP, este movimiento representa un esfuerzo por ir más allá de la especulación y construir una infraestructura de pagos para desarrolladores. El siguiente paso clave será monitorear la actualización de documentación, ejemplos de código, el uso en la red de pruebas y la retroinformación de la comunidad de desarrolladores para evaluar la adopción real de esta herramienta.

bitcoinistHace 5 hora(s)

Ripple Lanza el Kit de Inicio XRPL con IA para Pagos de Agentes con XRP y RLUSD

bitcoinistHace 5 hora(s)

Fundador de Zcash afirma que la auditoría de IA de Anthropic no encontró errores graves en el protocolo

Zcash anunció que una auditoría de seguridad realizada por el modelo de IA Mythos de Anthropic no encontró errores graves en su protocolo. La revisión, solicitada por Shielded Labs, fue revelada por el fundador Zooko Wilcox. Este resultado ofrece a Zcash un respaldo de seguridad en un contexto de creciente presión regulatoria sobre las criptomonedas de privacidad. Si bien la auditoría con IA no reemplaza el trabajo humano de seguridad, se está convirtiendo en una herramienta valiosa para escanear código complejo. Para protocolos centrados en la privacidad como Zcash, mantener un alto estándar de seguridad es crucial para la confianza de los usuarios. La noticia también refleja la integración de la IA en el desarrollo de infraestructura cripto, añadiendo una capa adicional de análisis. Los próximos pasos incluyen ver si se publican detalles técnicos más específicos sobre el alcance de la auditoría.

bitcoinistHace 8 hora(s)

Fundador de Zcash afirma que la auditoría de IA de Anthropic no encontró errores graves en el protocolo

bitcoinistHace 8 hora(s)

¿Bitcoin a $400,000? Un analista usa la superposición con el oro para presentar un atrevido caso para 2026

El analista Vivek Sen sugiere, mediante una superposición de gráficos históricos, que Bitcoin podría alcanzar los 400.000 dólares en 2026 si sigue la estructura de ruptura alcista que una vez mostró el oro. La comparación se basa en el marco de Bitcoin como reserva de valor digital, reforzado por la llegada de los ETFs institucionales. Sin embargo, el artículo advierte que esta superposición visual no es un modelo de valoración formal y destaca las diferencias clave entre ambos activos, como el tamaño del mercado, la liquidez y los perfiles de volatilidad. Para que el escenario sea creíble, Bitcoin necesitaría mantener fuertes entradas institucionales, condiciones macroeconómicas favorables y un impulso sostenido. La conclusión presenta este objetivo como un escenario alcista especulativo, no como una previsión confirmada, y subraya la necesidad de confirmarlo con datos reales de flujos y precios.

bitcoinistHace 10 hora(s)

¿Bitcoin a $400,000? Un analista usa la superposición con el oro para presentar un atrevido caso para 2026

bitcoinistHace 10 hora(s)

El Reloj del Halving de Bitcoin Apunta a una Fase de Fondo, Pero la Señal del Ciclo Requiere Precaución

Un influencer llamado Crypto Rover ha compartido un gráfico que sugiere que Bitcoin ($BTC) se encuentra actualmente en una "fase de fondo" dentro de su ciclo post-halving, siguiendo un patrón rítmico y estructural similar al de ciclos anteriores. Este análisis, basado en el llamado "reloj del halving", argumenta que el mercado está formando una base antes de una posible fase alcista más fuerte. Es crucial enmarcar esta afirmación con precaución. El contenido se origina de una fuente considerada de alto riesgo y es puramente especulativo, sin un modelo estadístico, confirmación on-chain o niveles de invalidación claros. A medida que Bitcoin madura y el mercado se vuelve más complejo (con ETF, derivados y flujos institucionales), la fiabilidad de los análisis estrictamente basados en ciclos históricos disminuye. La conclusión principal es que esta narrativa cíclica refleja la psicología actual de algunos traders, pero no es una señal confirmada. La verdadera validación debe provenir de la acción del precio (como mantener soportes clave y formar mínimos más altos), la liquidez y las condiciones macroeconómicas. Por tanto, el argumento del "reloj del halving" es un marco interesante para observar, no una base para decisiones de inversión.

bitcoinistHace 12 hora(s)

El Reloj del Halving de Bitcoin Apunta a una Fase de Fondo, Pero la Señal del Ciclo Requiere Precaución