- Atacante criou 10 bilhões de tokens TOP via proposta de governança sem timelock
- Pool TOP/WETH na Balancer V1 perdeu 944,2 WETH, cerca de US$ 1,58 milhão
- Fundos iniciais saíram do Tornado Cash com saque de 662 ETH
Um ataque que explorou falhas de governança no ecossistema do token Token of Power (TOP) permitiu a criação de 10 bilhões de novos tokens e o saque de aproximadamente US$ 1,5 milhão em WETH de uma pool da Balancer V1 na rede Ethereum. O caso, identificado por pesquisadores da Blockaid e da CertiK, expõe um vetor de ataque que cresce em frequência, a captura de DAOs mal configuradas.
Segundo a Blockaid, o invasor retirou 944,2 WETH equivalentes a cerca de US$ 1,58 milhão da pool TOP/WETH. A própria Balancer não apresentou vulnerabilidade. O ponto fraco estava na arquitetura administrativa do TOP, hospedada em uma estrutura legada da Aragon.
Como o atacante tomou o controle da DAO
A engenharia do golpe foi metódica. Antes de qualquer movimento on-chain visível, o responsável sacou 662 ETH do Tornado Cash, conforme rastreamento da CertiK. Com esse capital, comprou no mercado mais de 50% do supply circulante de TOP, garantindo maioria nas votações.
O passo seguinte foi acionar uma proposta dentro do Aragon Voting app. O contrato configurado para o TOP usava o padrão MiniMeToken e não tinha qualquer timelock entre as etapas de criação, votação e execução da proposta. Tudo aconteceu em uma única transação.
A proposta autorizava o mint direto de 10 bilhões de tokens TOP para um endereço controlado pelo atacante. Em seguida, esse supply foi despejado na pool da Balancer V1, drenando o WETH disponível e zerando o valor de mercado do token original.
Timelock ausente virou porta de entrada
O timelock existe justamente para impedir esse tipo de execução instantânea. Em DAOs bem configuradas, uma proposta aprovada só pode ser executada após um intervalo de horas ou dias, dando à comunidade tempo de reagir, vetar ou retirar liquidez antes do estrago.
No caso do TOP, o intervalo era zero.
“O Aragon Voting app permitia create, vote e execute em uma única tx, sem timelock”, resumiu a Blockaid em sua análise.
A escolha técnica, comum em DAOs antigas, transformou o sistema de governança em uma ferramenta de ataque direta.
O padrão repete o que aconteceu em outros casos recentes envolvendo controle administrativo de protocolos. Em maio, o Humanity Protocol perdeu US$ 36 milhões após o vazamento de chaves administrativas, mostrando que credenciais e direitos de voto seguem como os pontos mais frágeis da pilha DeFi.
Infraestrutura antiga da Aragon ainda roda em protocolos ativos
O incidente joga luz sobre um problema estrutural. A Aragon e o padrão MiniMeToken conquistaram ampla adoção nas primeiras fases do ecossistema DAO do Ethereum, entre 2018 e 2021. Muitas dessas implantações continuam ativas, geridas por equipes reduzidas ou abandonadas, sem upgrades de segurança.
Para o investidor brasileiro exposto a protocolos DeFi via exchanges locais ou carteiras como MetaMask, o ponto prático é o seguinte: tokens de governança hospedados em frameworks antigos podem carregar risco de captura mesmo quando o smart contract principal está auditado. A auditoria do código não cobre a configuração política do protocolo.
O TOP/WETH não era uma pool de grande volume daí o prejuízo relativamente contido em US$ 1,58 milhão. Em pools maiores, com a mesma falha de configuração, o impacto seria proporcionalmente maior. Casos como o choque recente na Aave mostraram como movimentos coordenados podem drenar bilhões em horas.
Governança como novo alvo recorrente dos hackers
O movimento confirma uma tendência observada por firmas de segurança ao longo de 2026: ataques contra mecanismos de controle superam, em frequência, os exploits clássicos de reentrância ou overflow. Comprar o supply, votar e executar é mais barato que encontrar um bug em código auditado por dezenas de times.
O token TOP perdeu praticamente todo o valor após o despejo dos 10 bilhões de unidades. O Ethereum, base da operação, é negociado a US$ 1.640,56 nesta terça-feira (9), com queda de 2,9% em 24 horas, segundo cotação do mercado spot.
