Exploit de gobernanza de Token of Power drena $1.58 millones en WETH, según TRM

bitcoinistPublicado a 2026-06-14Actualizado a 2026-06-14

Resumen

La empresa de inteligencia de blockchain TRM Labs ha detallado un ataque de toma de control de gobernanza contra el protocolo Token of Power, que drenó aproximadamente 1,58 millones de dólares en WETH. Según el análisis, el atacante explotó una debilidad en la configuración de la DAO de Aragon del protocolo: la ausencia de un timelock. Esto permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque. El atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP y los cambió por WETH a través de un grupo de Balancer antes de devolver los fondos mediante Tornado Cash. La explotación ejemplifica cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. Los timelocks están diseñados para dar tiempo a los usuarios y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Para los usuarios de DeFi, este caso recuerda que el riesgo no se limita a los errores de código; los parámetros de gobernanza y los controles del tesoro son igual de cruciales. El siguiente paso será monitorear si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles sobre remediación. Este informe se basa en datos del reporte de seguridad de TRM Labs.

La firma de inteligencia blockchain TRM Labs ha detallado una explotación de toma de control de gobernanza contra el protocolo Token of Power que drenó aproximadamente $1.58 millones en WETH.

Según el análisis de TRM, el atacante explotó una debilidad en la configuración de Aragon DAO del protocolo: la ausencia de un timelock (retardo de ejecución). Eso permitió al atacante proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Según los informes, el atacante financió la operación con 662 ETH retirados de Tornado Cash, compró suficientes tokens TOP para obtener el poder de voto mayoritario, acuñó 10 mil millones de nuevos TOP, y cambió esos tokens por WETH a través de un pool de Balancer antes de redirigir los fondos nuevamente a través de Tornado Cash.

Por qué importan los Timelocks

La explotación es un claro ejemplo de cómo el diseño de gobernanza puede convertirse en un riesgo de seguridad directo. La votación por tokens puede parecer descentralizada en teoría, pero si un actor malicioso puede comprar rápidamente poder de voto y ejecutar cambios sin demora, el sistema de gobernanza puede convertirse en una superficie de ataque.

Los timelocks están destinados a dar tiempo a usuarios, desarrolladores y equipos de seguridad para reaccionar antes de que una propuesta sea ejecutable. Sin ese retraso, una votación hostil puede convertirse en un drenaje antes de que nadie pueda detenerla.

Por qué esto importa

Para los usuarios de DeFi, esta historia es un recordatorio de que el riesgo de los contratos inteligentes no se limita a errores de código. Los parámetros de gobernanza, los controles del tesoro y los umbrales de votación pueden ser igual de importantes.

También subraya cómo se pueden utilizar mezcladores (mixers) y pools de liquidez en torno a una explotación sin ser ellos mismos el protocolo explotado.

Qué observar a continuación

Lo próximo a observar es si los fondos robados se mueven nuevamente y si el protocolo, Aragon o los proveedores de liquidez afectados publican más detalles de remediación.

El artículo no debe decir que Tornado Cash en sí fue hackeado.

Contexto de mercado

Para Bitcoinist, la historia se enmarca en un cambio más amplio en el mundo cripto donde la infraestructura, la seguridad, la gobernanza y la utilidad del token se están volviendo tan importantes como la acción del precio a corto plazo. Los traders aún se preocupan por el impulso, pero también necesitan entender los sistemas, riesgos y cambios de producto detrás de los titulares.

El ángulo útil no es exagerar el desarrollo, sino explicar por qué pertenece a la conversación diaria del mercado. Las historias fuertes de cripto provienen cada vez más de actualizaciones de protocolos, avisos oficiales, informes de seguridad, registros judiciales y datos on-chain, en lugar de solo comentarios reciclados.

La conclusión editorial debe mantenerse objetiva: la fuente confirma un desarrollo significativo en el mundo cripto, pero las implicaciones dependen de la adopción, las divulgaciones posteriores o más evidencia on-chain. Ese equilibrio mantiene el artículo útil sin depender del hype o afirmaciones sin fundamento.

Desde un punto de vista editorial, esto hace que la historia valga la pena cubrirse como parte del entorno operativo cripto más amplio del día, en lugar de como un ciclo de hype independiente. La versión más sólida del artículo debe mantenerse cerca de la fuente verificada, explicar el riesgo u oportunidad práctica, y dejar espacio para el seguimiento una vez que estén disponibles más datos oficiales, presentaciones o declaraciones del proyecto.

Este informe se basa en información del informe de seguridad on-chain de TRM Labs.

Preguntas relacionadas

Q¿Qué vulnerabilidad específica en la configuración del DAO de Aragon aprovechó el atacante en el protocolo Token of Power?

AEl atacante aprovechó la ausencia de un período de espera (timelock), lo que le permitió proponer, votar y ejecutar una acción de gobernanza maliciosa en un solo bloque.

Q¿Qué cantidad de fondos fueron drenados en el ataque y en qué criptomoneda se concretó la pérdida?

AFueron drenados aproximadamente 1,58 millones de dólares en WETH (Wrapped Ether).

Q¿Cuál es una de las principales lecciones o recordatorios para los usuarios de DeFi que se desprende de este incidente?

AEste incidente recuerda que el riesgo en DeFi no se limita a los errores en el código de los contratos inteligentes. Parámetros de gobernanza, controles de tesorería y umbrales de votación pueden ser igual de importantes.

Q¿Cómo obtuvo el atacante el poder de voto mayoritario necesario para llevar a cabo la propuesta maliciosa?

AEl atacante compró suficientes tokens TOP para obtener el poder de voto mayoritario. Financió la operación con 662 ETH retirados de Tornado Cash.

QSegún el artículo, ¿qué herramienta debería dar tiempo para reaccionar a los usuarios y equipos de seguridad antes de que una propuesta se vuelva ejecutable?

ALos períodos de espera o timelocks están diseñados para dar ese tiempo de reacción a usuarios, desarrolladores y equipos de seguridad antes de que una propuesta de gobernanza pueda ejecutarse.

Lecturas Relacionadas

La Consolidación de Cardano Pone a los Operadores de ADA de Nuevo en Observación de Patrones

Cardano se está consolidando nuevamente, y los operadores de ADA observan si la configuración actual puede convertirse en un cambio técnico más sólido. El token se mueve cerca del soporte mientras el mercado en general permanece irregular. Esto centra la atención en la estructura del gráfico, incluyendo la posibilidad de un patrón inverso de cabeza y hombros si los compradores defienden el rango actual y generan impulso. Sin embargo, los patrones técnicos no son garantías; importan porque muestran qué vigilan los operadores y dónde puede cambiar la actitud del mercado. Para que un posible patrón alcista sea convincente, el precio de ADA debe mantener el soporte, superar la línea del cuello y mostrar un volumen que confirme el regreso de los compradores. El desafío más amplio para Cardano es transformar su desarrollo continuo y la fuerza de su comunidad en una nueva demanda de mercado. La narrativa a largo plazo del proyecto se centra en la investigación y el desarrollo meticuloso, lo que puede ser una fortaleza o un lastre dependiendo de la paciencia del mercado. La consolidación actual proporciona un área clara para evaluar: si ADA mantiene el soporte y forma mínimos más altos, el mercado podría verlo como una base. No obstante, el contexto más amplio de las altcoins también es crucial. El caso más favorable para ADA combinaría una confirmación técnica con un catalizador del ecosistema, como nuevos hitos de desarrollo, aplicaciones o una mayor actividad en DeFi. Por ahora, los operadores están atentos a la confirmación del patrón para determinar si Cardano puede recuperar su impulso o si permanecerá como una historia a largo plazo a la espera de un catalizador a corto plazo.

bitcoinistHace 5 hora(s)

La Consolidación de Cardano Pone a los Operadores de ADA de Nuevo en Observación de Patrones

bitcoinistHace 5 hora(s)

Trading

Spot
活动图片