Tornado Cash DAO : Une proposition de gouvernance suspecte apparaît ! Des chercheurs avertissent du contrôle d'un trésor de 23 millions de dollars.

Le chercheur en sécurité blockchain Sergey Shemyakov a émis une alerte urgente le 25 juin sur la plateforme X, indiquant qu'une proposition de gouvernance hautement suspecte est apparue dans Tornado Cash DAO il y a environ 8 heures. Le code du contrat n'est pas vérifié, les fonds du proposant ont été obscurcis via le protocole de confidentialité Railgun, et le contrat cible utilise le mécanisme delegatecall — si elle est exécutée, l'attaquant pourrait prendre le contrôle de près de 23 millions de dollars US en TORN dans le trésor du DAO.
(Contexte précédent : le Trésor américain a levé les sanctions contre le mélangeur Tornado Cash, TORN a bondi de 74 %)
(Contexte complémentaire : le fondateur du mélangeur Tornado Cash risque 64 mois de prison ! Le parquet néerlandais : il a créé un paradis mondial du blanchiment d'argent)

Table des matières

Toggle

• Analyse détaillée des quatre signaux anormaux
• Le pool de mélange est sûr, le trésor du DAO est la seule cible
• L'histoire se répète en 2023 ?

Le chercheur en sécurité blockchain Sergey Shemyakov a émis une alerte le 25 juin sur la plateforme X, indiquant qu'une proposition de gouvernance hautement suspecte est apparue dans Tornado Cash DAO il y a environ 8 heures, appelant la communauté à effectuer un examen indépendant. Cette proposition présente plusieurs signaux anormaux. Si elle est exécutée, elle pourrait menacer directement les jetons TORN d'une valeur d'environ 23 millions de dollars US dans le trésor du DAO.

Analyse détaillée des quatre signaux anormaux

Le chercheur a énuméré quatre caractéristiques dangereuses de cette proposition. Premièrement, le code du contrat de la proposition n'est pas vérifié — ce qui est extrêmement rare dans l'historique des propositions de Tornado Cash DAO. Le chercheur estime que ce fait constitue à lui seul un signal clair d'intention malveillante. Deuxièmement, l'adresse du créateur de la proposition a reçu des fonds via le protocole de confidentialité Railgun il y a 4 jours, avec une source obscurcie et un comportement hautement suspect. Troisièmement, la description de la proposition semble être un emballage trompeur visant à induire les électeurs en erreur sur les risques réels.

Mais l'anomalie la plus critique est la quatrième : une fois que le contrat cible de la proposition est adopté et exécuté, le contrat de gouvernance appellera la fonction du contrat cible via delegatecall. Ce mécanisme signifie que l'attaquant peut ainsi obtenir des autorisations très élevées sur le DAO, y compris le contrôle des retraits de fonds du trésor.

Le pool de mélange est sûr, le trésor du DAO est la seule cible

Le chercheur souligne que les contrats du pool de mélange de Tornado Cash lui-même ne sont pas affectés par cette proposition, et les fonds des utilisateurs sont en sécurité. La cible de cette attaque est entièrement concentrée sur la couche de gouvernance du DAO — si la proposition est adoptée, l'attaquant peut directement utiliser les jetons TORN d'une valeur d'environ 23 millions de dollars US dans le trésor du DAO, sans affecter le fonctionnement du service de mélange.

L'histoire se répète en 2023 ?

Il est à noter que Tornado Cash DAO n'a pas rencontré une telle menace pour la première fois. En mai 2023, un attaquant a réussi à obtenir 1,2 million de faux droits de vote via une proposition de gouvernance malveillante, à prendre le contrôle du protocole et à voler 10 000 TORN, ce qui a entraîné une chute de 50 % du prix du jeton. À l'époque, OpenZeppelin avait qualifié cette attaque d'« attaque métamorphique », soulignant la vulnérabilité inhérente au mécanisme de gouvernance du DAO.

Shemyakov appelle tous les détenteurs de jetons TORN à rester très vigilants avant que la proposition n'entre officiellement en phase de vote, à vérifier indépendamment le contenu de la proposition et à ne pas voter aveuglément.