Tornado Cash DAO出现可疑提案,2300万美元TORN资金有风险吗
研究员披露Tornado Cash DAO出现可疑提案,目标为未验证合约,若通过可能威胁约2300万美元TORN资金。提案者通过Railgun获得资金,社区需警惕治理攻击风险。
L2BEAT研究员@sergeyshemyakov在X平台披露,Tornado Cash于6月25日出现一项可疑的DAO提案。与常规提案不同,该提案的目标是一个未经验证的合约,这在Tornado Cash的DAO治理历史中极为罕见,具有高度可疑性。链上信息显示,提案创建者的地址在4天前通过隐私协议Railgun获得过资金。根据治理机制,一旦该提案通过并执行,Tornado Cash的治理合约将向该目标合约发起delegatecall。sergeyshemyakov指出,虽然Tornado Cash的流动性池本身未受直接威胁,但该提案的攻击目标可能是Tornado Cash DAO,而DAO目前持有的TORN代币价值约2300万美元。
事件核心要点
本次可疑提案的关键信息包括:提案创建于6月25日,目标合约为未验证状态,社区无法在链上直接审计其代码;提案者地址在4天前通过Railgun获得资金,资金来源具有隐私性;若投票通过,治理合约将执行delegatecall,存在资产操控风险;Tornado Cash流动性池目前安全,但DAO持有的约2300万美元TORN代币可能面临威胁。
治理攻击风险在哪
DAO治理中的delegatecall是一种高风险调用方式,它允许目标合约在治理合约的上下文中执行代码,理论上可直接操作DAO资产。由于该提案指向的合约未经验证,投票者难以判断其真实意图,这使得传统的事前代码审计无法发挥作用。结合提案者通过隐私工具Railgun获取资金的行为,该提案被安全研究员认定为具有恶意特征。
后续需要观察什么
社区应持续跟踪该提案的投票状态与执行结果,关注是否有异常大额投票或新地址集中参与。同时需留意Tornado Cash贡献者或第三方安全团队是否会发布针对该未验证合约的技术解析,以确认是否存在具体的资产转移或权限篡改逻辑。