治理機制漏洞釀禍：Token of Power 遭駭客閃電攻擊，損失 158 萬美元以太幣

根據區塊鏈情報公司 TRM Labs 的最新分析，去中心化金融（DeFi）協議 Token of Power 近期遭受治理接管攻擊，導致約 158 萬美元的包裝以太幣（WETH）遭竊。

治理架構的致命缺陷：缺乏時間鎖

TRM Labs 指出，此次攻擊的核心原因在於該協議的 Aragon DAO 架構缺乏時間鎖（timelock）機制。在正常的治理流程中，時間鎖旨在為用戶、開發者及安全團隊預留反應時間，以防範惡意提案。然而，由於該協議缺乏此類延遲，攻擊者得以在單一區塊內完成「提案、投票、執行」的惡意操作。

根據 TRM Labs 的調查，駭客的攻擊路徑如下：

• 資金籌備：攻擊者從混幣器 Tornado Cash 提取 662 枚以太幣作為初始資金。
• 取得控制權：利用資金購入足夠數量的 TOP 代幣，藉此獲得治理投票的多數決權力。
• 惡意執行：成功增發 100 億枚 TOP 代幣，並透過 Balancer 流動性池將其兌換為 WETH。
• 洗錢路徑：最後將獲利資金再次透過 Tornado Cash 進行混幣轉移。

TRM Labs 強調，Tornado Cash 本身並未遭到駭客入侵，僅是被攻擊者作為資金流轉與隱匿的工具。

DeFi 安全的新警訊

此事件反映出 DeFi 領域的一個重要趨勢：智慧合約風險不僅限於程式碼漏洞。治理參數、資金庫控制權以及投票門檻的設計，同樣是協議安全防禦的關鍵環節。若治理機制僅在紙面上呈現去中心化，卻允許惡意行為者透過購買投票權並即時執行變更，該治理系統本身即成為駭客的攻擊面。

目前市場與相關社群正持續關注被盜資金的後續動向，以及 Aragon 或受影響的流動性提供商是否會發布進一步的補救措施或官方聲明。