Tornado Cash DAO muncul proposal tata kelola yang mencurigakan! Peneliti memperingatkan kendali atas treasury senilai 23 juta dolar AS.

Peneliti keamanan blockchain Sergey Shemyakov memberi peringatan darurat di platform X pada 25 Juni, bahwa sekitar 8 jam sebelumnya muncul proposal tata kelola yang sangat mencurigakan di Tornado Cash DAO, kode kontrak belum diverifikasi, dana pengusul berasal dari protokol privasi Railgun yang mengaburkan sumber, dan kontrak target menggunakan mekanisme delegatecall — jika dieksekusi, penyerang dapat menguasai kendali atas hampir $23 juta TORN di kas DAO.

(Konteks sebelumnya: Departemen Keuangan AS mencabut sanksi terhadap mixer Tornado Cash, TORN melonjak 74%) (Latar belakang tambahan: Pendiri mixer Tornado Cash terancam hukuman penjara 64 bulan! Jaksa Belanda: Dia menciptakan sarang pencucian uang global)

Daftar Isi

Toggle

• Analisis Empat Sinyal Anomali Satu per Satu
• Kolam Mixer Aman, Kas DAO Jadi Satu-satunya Target
• Sejarah 2023 Terulang?

Peneliti keamanan blockchain Sergey Shemyakov memberi peringatan di platform X pada 25 Juni, bahwa sekitar 8 jam sebelumnya muncul proposal tata kelola yang sangat mencurigakan di Tornado Cash DAO, menyerukan komunitas untuk meninjau secara independen. Proposal tersebut memiliki beberapa sinyal anomali, jika dieksekusi, dapat langsung mengancam token TORN senilai sekitar $23 juta di kas DAO.

Analisis Empat Sinyal Anomali Satu per Satu

Peneliti merinci empat fitur berbahaya dari proposal tersebut. Pertama, kode kontrak proposal belum diverifikasi — ini sangat jarang terjadi dalam sejarah proposal Tornado Cash DAO, dan peneliti menganggap tindakan ini sendiri sudah merupakan sinyal jelas niat jahat. Kedua, alamat pembuat proposal menerima dana 4 hari lalu melalui protokol privasi Railgun, dengan sumber yang dikaburkan, pola perilaku sangat mencurigakan. Ketiga, deskripsi proposal diduga dibungkus secara menyesatkan, bertujuan mengelabui pemilih agar mengabaikan risiko sebenarnya.

Namun anomali paling kritis ada di poin keempat: setelah kontrak target proposal lolos dan dieksekusi, kontrak tata kelola akan memanggil fungsi kontrak target dengan metode delegatecall. Mekanisme ini berarti penyerang dapat memperoleh hak akses yang sangat tinggi ke DAO, termasuk kendali atas penarikan dana kas.

Kolam Mixer Aman, Kas DAO Jadi Satu-satunya Target

Peneliti menekankan bahwa kontrak kolam mixer Tornado Cash sendiri tidak terpengaruh oleh proposal ini, dana pengguna aman. Target serangan kali ini sepenuhnya terfokus pada lapisan tata kelola DAO — jika proposal berhasil lolos, penyerang dapat langsung menggunakan token TORN senilai sekitar $23 juta di kas DAO, tanpa memengaruhi operasi layanan mixer.

Sejarah 2023 Terulang?

Perlu dicatat bahwa Tornado Cash DAO bukan pertama kali menghadapi ancaman semacam ini. Pada Mei 2023, penyerang berhasil memperoleh 1,2 juta suara palsu melalui proposal tata kelola jahat, mengambil alih kendali protokol dan mencuri 10.000 TORN, menyebabkan harga token anjlok 50%. Saat itu, OpenZeppelin mengklasifikasikan serangan ini sebagai "metamorphic attack", menyoroti kerentanan inheren dalam mekanisme tata kelola DAO.

Shemyakov menyerukan kepada semua pemegang token TORN untuk tetap waspada tinggi sebelum proposal resmi memasuki tahap pemungutan suara, memverifikasi isi proposal secara independen, dan jangan memilih secara membabi buta.