9 июня 2026 года злоумышленник провернул нестандартную атаку: он не взламывал код и не искал уязвимости в контрактах. Вместо этого он просто купил больше половины всех токенов проекта TOP — и этого оказалось достаточно, чтобы единолично принять любое решение от имени всего сообщества.
Введение
Проект TOP работал на блокчейне Ethereum и использовал механизм управления через DAO — децентрализованную автономную организацию. DAO — это система, в которой владельцы токенов голосуют за изменения в проекте: чем больше токенов, тем больше влияния. Идея красивая, но у неё есть уязвимость: если токенов мало и они дёшевы, контроль над всем проектом можно просто купить на открытом рынке.
Именно это и сделал злоумышленник.
Ход инцидента
1️⃣ Подготовка: деньги из миксера. За несколько дней до атаки злоумышленник вывел около 663 ETH (примерно $1,1 млн) через Tornado Cash — это сервис для анонимизации транзакций, который скрывает происхождение средств. Деньги поступили на кошелёк 0xff8eF7bC455a57e5893232203052Ce0232b39Fa2.
2️⃣ Скупка токенов. На выведенные средства злоумышленник купил 8 192 токена TOP из 16 384 существующих — ровно больше половины. Это автоматически дало ему контрольный пакет голосов в системе управления проектом.
3️⃣ Захват управления. Имея большинство голосов, злоумышленник создал специальный контракт 0x25c68C44A96518294f5B47D758f98309c6729A21 и через него подал вредоносное предложение в систему голосования Aragon DAO. Поскольку он сам контролировал большинство голосов, предложение было принято мгновенно — в той же транзакции, в которой было создано. Никто другой не успел среагировать.
4️⃣ Печать новых токенов. Принятое предложение дало злоумышленнику право напечатать 10 миллиардов новых токенов TOP. Для сравнения: до атаки их существовало всего 16 тысяч.
5️⃣ Вывод средств. Новые токены злоумышленник обменял в пуле ликвидности Balancer V1 — это площадка, где токены обмениваются автоматически по заранее заданному алгоритму. Пул не рассчитан на такой объём: из него вышло 944,2 WETH (около $1,58 млн), и пул практически опустел. Средства вернулись на основной кошелёк злоумышленника, после чего были конвертированы в ETH и отправлены обратно в Tornado Cash.
Почему это стало возможным
Проект имел несколько структурных слабостей, которые в совокупности сделали атаку дешёвой и простой.
Во-первых, токенов было очень мало — всего 16 тысяч. Это означало, что купить контрольный пакет стоило относительно недорого.
Во-вторых, в настройках Aragon DAO не было никаких защитных механизмов: ни задержки между подачей предложения и его принятием (так называемый timelock — «временной замок»), ни ограничения на выпуск новых токенов. В нормально настроенном DAO даже при наличии большинства голосов у атакующего другие участники имели бы время заметить вредоносное предложение и отреагировать. Здесь такого времени не было.
В-третьих, почти вся ликвидность проекта была сосредоточена в одном старом пуле Balancer V1 — без защиты от манипуляций большими объёмами.
Детали расследования: движение средств
Схема атаки выглядела следующим образом:
Злоумышленник вывел ~663 ETH из Tornado Cash на кошелёк 0xff8eF7bC455a57e5893232203052Ce0232b39Fa2, развернул эксплойт-контракт 0x25c68C44A96518294f5B47D758f98309c6729A21, через который скупил токены TOP и провёл голосование. После эмиссии 10 млрд токенов и обмена их через Balancer V1 на основной кошелёк поступило 944,2 WETH. Средства были конвертированы в ETH и направлены обратно в Tornado Cash.
Основная транзакция атаки: 0x967aa34c69b7775c718545c7f94d92e965eb5fc553c0f27f6f1a9c65c93ac156
На момент расследования средства выведены через миксер и дальнейшее отслеживание затруднено.
Заключение
Атака на TOP наглядно показывает: уязвимость не всегда прячется в коде. Иногда достаточно купить большинство голосов на открытом рынке — и система управления сама сделает всё остальное.
Маленький размер проекта, отсутствие временной задержки в голосовании и неограниченная эмиссия токенов превратили механизм управления из инструмента защиты в инструмент атаки. Злоумышленник потратил около $1,1 млн, вывел $1,58 млн и скрылся через миксер.
Команда «КоинКит» продолжает анализ маршрутов движения средств.
