158万ドルが数分で消失　少額トークンのガバナンス乗っ取り

セキュリティ対策の甘い低時価総額トークンが迅速に乗っ取られたことで、DeFi投票システムに潜むリスクが改めて浮き彫りとなった。

ブロックチェーンセキュリティ企業各社は本日、Token of Power（$TOP）において158万ドル相当の流出が発生したと報告した。攻撃者はガバナンス権限を奪取し、数十億枚のトークンをミントした上で、Balancer V1プールの流動性を枯渇させた。

攻撃の手口

Tornado Cash経由で資金調達を行ったアドレスが、発行量と時価総額の小ささを利用し、$TOPの投票権の50％超を取得した。

Aragon DAOのMiniMeToken構成を用い、攻撃者はTOP総供給数1万6384枚のうち過半数を保有していた。

1件の取引で攻撃者は、不正な提案の作成・投票・実行を行い、TokenManagerを通じ自らのコントラクトに直接100億枚のTOPをミントさせた。

ミントしたトークンはTOP/WETHのBalancer V1プールにて944.2 WETH（約158万5000ドル）にスワップされ、プールの流動性が枯渇した。

X公式アカウントで最新ニュースを随時フォロー

セキュリティ警告発出

BlockSec Phalconはメカニズムの詳細を説明し、即時の対応を呼びかけた。

盗まれた資金はTornado Cash経由で送金されており、資金回収の難易度が高まっている。なおBalancerのコアプロトコル自体には影響はなかった。

市場環境と投資家への影響

今回の流出は、2026年に入ってから続発する小規模DeFiプロジェクトに対するガバナンス攻撃の一例であり、流動性不足と緩いパラメーター設定が乗っ取りを容易にしている。

主要プロトコルはタイムロックや高定足数の導入で防御を強化したが、多くの新興トークンには依然として脆弱性が残る。

低時価総額トークンの保有者や流動性提供者は、ガバナンス設定を確認し、巨額保有の動向を監視し、審査不十分なプールの利用を避けるべきだ。

同様の仕組みを使うプロジェクトは今後、監視強化や仕組み改良の圧力が高まる見通し。

暗号資産業界全体にとって、本件は「堅牢なガバナンス設計」が洗練された低コスト攻撃から資産保護するうえで不可欠であることを再認識させる出来事となった。

十分な監視と監査済みかつ実証済みのパラメーター設定を最優先すべきだ。