Em questão de minutos, uma falha nas proteções de governança do protocolo Token of Power ($TOP) custou US$ 1,58 milhão aos seus detentores e expôs vulnerabilidades estruturais recorrentes em sistemas de votação descentralizada.
Empresas de segurança em blockchain reportaram nesta semana um exploit no protocolo Token of Power ($TOP), token de baixa capitalização de mercado. Um endereço desconhecido conseguiu assumir o controle do mecanismo de governança do protocolo, cunhar bilhões de tokens e, em seguida, drenar toda a liquidez de um pool na Balancer V1. O prejuízo total foi de aproximadamente US$ 1,58 milhão.
Segundo a BeInCrypto, o atacante explorou salvaguardas consideradas insuficientes para um protocolo com controle descentralizado. A sequência do ataque foi rápida e cirúrgica: obtenção de poder de voto, aprovação de proposta maliciosa, emissão massiva de tokens e liquidação imediata dos ativos no pool.
Como o ataque foi executado
O vetor de entrada foi o próprio sistema de governança on-chain do protocolo. Com uma quantidade relativamente pequena de tokens — suficiente para atingir o quórum necessário —, o atacante submeteu e aprovou uma proposta que lhe concedia permissões administrativas sobre o contrato inteligente.
De posse dessas permissões, o endereço cunhou bilhões de novos tokens $TOP, diluindo drasticamente todos os detentores legítimos. Em seguida, utilizou esses tokens para drenar o pool de liquidez hospedado na Balancer V1, convertendo os ativos em criptomoedas de maior liquidez antes que qualquer mecanismo de defesa pudesse ser acionado.
Quórum baixo e ausência de timelock permitiram que a proposta maliciosa fosse aprovada e executada em minutos, sem janela de contestação.
Após cunhar bilhões de tokens, o atacante utilizou o saldo inflado para retirar toda a liquidez disponível no pool, causando prejuízo de US$ 1,58 milhão.
O contrato não possuía restrições adequadas de mint, tornando possível a criação arbitrária de bilhões de unidades do token $TOP após a tomada de controle.
Todo o ciclo — da submissão da proposta à drenagem do pool — foi concluído em um intervalo de tempo extremamente curto, sem possibilidade de resposta pela comunidade.
Um problema estrutural recorrente no DeFi
O caso do $TOP não é isolado. Ataques de governança maliciosa figuram entre as ameaças mais persistentes no ecossistema de finanças descentralizadas. Protocolos que concentram poder de voto em poucos endereços, não implementam timelocks — períodos de espera obrigatórios entre a aprovação e a execução de propostas — ou carecem de auditorias regulares, tornam-se alvos previsíveis.
A ausência de salvaguardas mínimas, como exigência de quórum elevado, multisig para funções críticas e limites de emissão nos contratos, transforma o próprio mecanismo democrático do protocolo em seu ponto mais frágil. Para usuários, o episódio reforça a importância de compreender os riscos associados a tokens de baixa capitalização antes de alocar recursos em pools de liquidez.
Leia também: como a inteligência artificial está tornando golpes cripto quase perfeitos.
O que é um ataque de governança?
Em protocolos DeFi com governança on-chain, detentores de tokens votam em propostas que alteram regras do contrato. Quando as salvaguardas são fracas — quórum baixo, sem timelock, sem auditoria —, um agente malicioso pode acumular tokens suficientes, aprovar alterações prejudiciais e executá-las antes que a comunidade reaja. O resultado costuma ser irreversível: fundos drenados não são recuperados.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com custódia própria
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Hardware wallet: por que usar custódia própriaExploits em protocolos DeFi reforçam a importância de manter seus ativos sob controle exclusivo, longe de contratos vulneráveis.
⚠️ Os maiores hacks de criptomoedas da históriaUma linha do tempo dos ataques mais expressivos ao ecossistema cripto e o que a indústria aprendeu com cada um deles.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.