Tornado Cash DAO apresenta proposta de governança suspeita! Pesquisadores alertam sobre controle de tesouraria de US$ 23 milhões

O pesquisador de segurança blockchain Sergey Shemyakov emitiu um alerta urgente na plataforma X em 25 de junho, informando que há cerca de 8 horas surgiu uma proposta de governança altamente suspeita no Tornado Cash DAO. O código do contrato não foi verificado, os fundos do proponente foram ocultados via protocolo de privacidade Railgun, e o contrato alvo usa o mecanismo delegatecall — se aprovada, os invasores poderiam obter controle sobre quase US$ 23 milhões em TORN no tesouro do DAO.
(Contexto anterior: Tesouro dos EUA revoga sanções ao misturador Tornado Cash, TORN dispara 74%)
(Complemento de fundo: Fundador do misturador Tornado Cash pode pegar 64 meses de prisão! Promotoria holandesa: ele criou um paraíso global para lavagem de dinheiro)

Índice

Toggle

• Análise detalhada dos quatro sinais anômalos
• Pool de mistura seguro, tesouro do DAO é o único alvo
• História de 2023 se repetindo?

O pesquisador de segurança blockchain Sergey Shemyakov emitiu um alerta na plataforma X em 25 de junho, informando que há cerca de 8 horas surgiu uma proposta de governança altamente suspeita no Tornado Cash DAO, pedindo à comunidade que realize uma revisão independente. A proposta apresenta múltiplos sinais anômalos; se aprovada, poderia ameaçar diretamente os tokens TORN no valor de cerca de US$ 23 milhões no tesouro do DAO.

Análise detalhada dos quatro sinais anômalos

O pesquisador detalhou quatro características perigosas da proposta. Primeiro, o código do contrato da proposta não foi verificado — algo extremamente raro nas propostas históricas do Tornado Cash DAO, e o pesquisador considera que isso por si só já constitui um sinal claro de intenção maliciosa. Segundo, o endereço do criador da proposta recebeu fundos há 4 dias através do protocolo de privacidade Railgun, com origem oculta e padrão de comportamento altamente suspeito. Terceiro, a descrição da proposta parece ter um empacotamento enganoso, visando induzir os votantes a ignorar os verdadeiros riscos.

Mas a anomalia mais crítica é a quarta: o contrato alvo da proposta, uma vez aprovado e executado, fará com que o contrato de governança chame a função do contrato alvo através do mecanismo delegatecall. Isso significa que o invasor poderia obter permissões extremamente altas no DAO, incluindo o controle sobre a retirada de fundos do tesouro.

Pool de mistura seguro, tesouro do DAO é o único alvo

O pesquisador enfatizou que os contratos do próprio pool de mistura do Tornado Cash não são afetados por esta proposta, e os fundos dos usuários estão seguros. O alvo deste ataque está totalmente focado na camada de governança do DAO — se a proposta for aprovada, o invasor poderá movimentar diretamente os tokens TORN no valor de cerca de US$ 23 milhões no tesouro do DAO, sem afetar a operação do serviço de mistura.

História de 2023 se repetindo?

Vale notar que o Tornado Cash DAO não enfrenta essa ameaça pela primeira vez. Em maio de 2023, invasores conseguiram obter 1,2 milhão de votos falsos por meio de uma proposta de governança maliciosa, assumindo o controle do protocolo e roubando 10.000 TORN, fazendo o preço do token despencar 50% na época. Na ocasião, a OpenZeppelin classificou o ataque como "ataque metamórfico" (metamorphic attack), destacando a vulnerabilidade inerente ao mecanismo de governança do DAO.

Shemyakov pede que todos os detentores de tokens TORN mantenham alto nível de alerta antes que a proposta entre oficialmente na fase de votação, verifiquem independentemente o conteúdo da proposta e não votem cegamente.