Tornado Cash DAO aparece proposta de governação suspeita! Investigador alerta para controlo do tesouro de 23 milhões de dólares.

Blockchain security researcher Sergey Shemyakov emitiu um alerta urgente na plataforma X no dia 25 de junho, informando que há cerca de 8 horas surgiu uma proposta de governação altamente suspeita na DAO do Tornado Cash, com código de contrato não verificado, fundos do proponente obscurecidos através do protocolo de privacidade Railgun, e o contrato alvo a utilizar o mecanismo delegatecall — caso seja aprovada e executada, um atacante poderia obter controlo sobre quase 23 milhões de dólares em TORN no tesouro da DAO.
(Contexto anterior: O Departamento do Tesouro dos EUA revogou as sanções ao misturador Tornado Cash, TORN disparou 74%)
(Informação complementar: Criador do misturador Tornado Cash pode enfrentar 64 meses de prisão! Procuradoria holandesa: ele criou um paraíso global para lavagem de dinheiro)

Índice

Alternar

• Análise detalhada dos quatro sinais anómalos
• Pool de mistura seguro, tesouro da DAO como único alvo
• História de 2023 a repetir-se?

O investigador de segurança blockchain Sergey Shemyakov emitiu um alerta na plataforma X no dia 25 de junho, informando que há cerca de 8 horas surgiu uma proposta de governação altamente suspeita na DAO do Tornado Cash, apelando à comunidade para uma revisão independente. A proposta apresenta múltiplos sinais anómalos; se for aprovada e executada, pode ameaçar diretamente os tokens TORN no valor de cerca de 23 milhões de dólares no tesouro da DAO.

Análise detalhada dos quatro sinais anómalos

O investigador enumerou quatro características perigosas da proposta. Primeiro, o código do contrato da proposta não foi verificado — algo extremamente raro no histórico de propostas da DAO do Tornado Cash, sendo que o investigador considera que este facto por si só constitui um sinal claro de intenção maliciosa. Segundo, o endereço do criador da proposta recebeu fundos há 4 dias através do protocolo de privacidade Railgun, com origem obscura e um padrão de comportamento altamente suspeito. Terceiro, a descrição da proposta parece ter uma embalagem enganosa, com o intuito de induzir os votantes a ignorar o verdadeiro risco.

Mas a anomalia mais crítica é a quarta: o contrato alvo da proposta, uma vez aprovado e executado, fará com que o contrato de governação chame as funções do contrato alvo através de delegatecall. Este mecanismo significa que um atacante pode obter permissões muito elevadas na DAO, incluindo o controlo sobre a extração de fundos do tesouro.

Pool de mistura seguro, tesouro da DAO como único alvo

O investigador enfatizou que os contratos do próprio pool de mistura do Tornado Cash não são afetados por esta proposta, e os fundos dos utilizadores estão seguros. O alvo deste ataque está totalmente focado na camada de governação da DAO — se a proposta for aprovada, o atacante pode mobilizar diretamente os tokens TORN no valor de cerca de 23 milhões de dólares no tesouro da DAO, sem afetar o funcionamento do serviço de mistura.

História de 2023 a repetir-se?

Vale a pena notar que a DAO do Tornado Cash não enfrenta esta ameaça pela primeira vez. Em maio de 2023, um atacante conseguiu obter 1,2 milhões de votos falsos através de uma proposta de governação maliciosa, assumiu o controlo do protocolo e roubou 10.000 TORN, fazendo com que o preço do token caísse 50% na altura. Na ocasião, a OpenZeppelin classificou o ataque como um «ataque metamórfico» (metamorphic attack), realçando a vulnerabilidade inerente ao mecanismo de governação das DAOs.

Shemyakov apela a todos os detentores de tokens TORN para que mantenham um elevado nível de alerta antes de a proposta entrar oficialmente na fase de votação, verifiquem o conteúdo da proposta de forma independente e não votem cegamente.