Một cuộc tấn công chiếm quyền quản trị đã cho phép kẻ tấn công mint 10 tỷ TOP và rút khoảng 1,58 triệu USD WETH từ một pool thanh khoản Balancer trên Ethereum.
Vụ việc cho thấy rủi ro không chỉ nằm ở mã nguồn hợp đồng thông minh, mà còn có thể đến từ cấu hình quản trị DAO. Balancer được nói là không có lỗ hổng trực tiếp; điểm bị khai thác là cơ chế quản trị của hệ sinh thái Token of Power (TOP).
- Kẻ tấn công đã mint 10 tỷ TOP và rút 944,2 WETH, tương đương khoảng 1,58 triệu USD.
- Lỗ hổng nằm ở cấu hình quản trị Aragon DAO, không phải ở Balancer.
- Thiếu timelock khiến tạo đề xuất, bỏ phiếu và thực thi có thể diễn ra trong cùng một giao dịch.
Cuộc tấn công nhắm vào cơ chế quản trị của TOP
Kẻ tấn công đã giành quyền kiểm soát hơn 50% nguồn cung TOP trước khi thực thi một đề xuất quản trị để mint thêm token vào hợp đồng do mình kiểm soát. Sau đó, 10 tỷ TOP mới được đưa vào pool TOP/WETH Balancer V1 để đổi lấy WETH.
Blockaid và CertiK cho biết vụ khai thác liên quan đến cấu hình sai trong Aragon DAO gắn với cấu trúc MiniMeToken của TOP. Theo mô tả này, hệ thống cho phép tạo đề xuất, bỏ phiếu và thực thi chỉ trong một giao dịch vì không có timelock bảo vệ.
Blockaid cho biết chính cơ chế “create → vote → execute” trong cùng một giao dịch đã khiến hành vi tấn công diễn ra gần như ngay lập tức. CertiK cũng báo cáo kẻ tấn công ban đầu đã rút 662 ETH từ Tornado Cash trước khi tích lũy đủ TOP để giành quyền quản trị.
Balancer không bị khai thác trực tiếp
Balancer không phải là điểm yếu cốt lõi trong vụ việc này. Dữ liệu hiện có cho thấy bên bị nhắm tới là lớp quản trị của token TOP, sau đó thanh khoản trên Balancer chỉ là nơi bị rút giá trị ra.
Cách tấn công này khác với các sự cố DeFi thường gặp như lỗi reentrancy hay sai sót trong logic hợp đồng. Ở đây, quyền quản trị và quyền biểu quyết bị biến thành công cụ để thực thi hành vi mint và bán token.
Thiếu timelock khiến DAO khó phản ứng
Timelock là cơ chế trì hoãn thực thi đề xuất quản trị, giúp cộng đồng có thời gian phát hiện và chặn các đề xuất độc hại. Khi không có timelock, một đề xuất xấu có thể được thông qua và thực thi ngay lập tức.
Trong vụ này, khoảng trống đó đã làm giảm đáng kể khả năng phản ứng của hệ thống. Với các DAO dùng cơ chế bỏ phiếu on-chain, việc kiểm soát thời gian thực thi thường là lớp phòng vệ quan trọng không kém gì bảo mật hợp đồng.
Rủi ro từ hạ tầng DAO cũ trên Ethereum
Sự cố TOP cho thấy các framework quản trị cũ như Aragon và MiniMeToken vẫn có thể để lại rủi ro nếu cấu hình không còn phù hợp với chuẩn an toàn hiện nay. Những hệ thống này từng được dùng rộng rãi trong giai đoạn đầu của hệ sinh thái DAO trên Ethereum.
Vấn đề đáng lưu ý là nhiều cuộc tấn công DeFi hiện nay không cần phá mã nguồn trực tiếp. Kẻ tấn công có thể nhắm vào quyền điều hành, quyền biểu quyết hoặc quy trình thực thi để chiếm kiểm soát giao thức.
Tổng kết
Vụ tấn công TOP cho thấy quản trị DAO có thể trở thành điểm yếu nghiêm trọng nếu thiếu timelock và kiểm soát quyền lực đủ chặt. Với các giao thức DeFi, an toàn quản trị đang là lớp rủi ro cần được theo dõi cùng với bảo mật hợp đồng.
