Token通报

Token通报专注代币市场、项目基本面、解锁计划和叙事变化,提供面向投资研究的简明分析与风险信息。

代币研究

Tornado Cash DAO出现可疑提案,2300万美元TORN资金有风险吗

来源:Token通报

研究员披露Tornado Cash DAO出现可疑提案,目标为未验证合约,若通过可能威胁约2300万美元TORN资金。提案者通过Railgun获得资金,社区需警惕治理攻击风险。

L2BEAT研究员@sergeyshemyakov在X平台披露,Tornado Cash于6月25日出现一项可疑的DAO提案。与常规提案不同,该提案的目标是一个未经验证的合约,这在Tornado Cash的DAO治理历史中极为罕见,具有高度可疑性。链上信息显示,提案创建者的地址在4天前通过隐私协议Railgun获得过资金。根据治理机制,一旦该提案通过并执行,Tornado Cash的治理合约将向该目标合约发起delegatecall。sergeyshemyakov指出,虽然Tornado Cash的流动性池本身未受直接威胁,但该提案的攻击目标可能是Tornado Cash DAO,而DAO目前持有的TORN代币价值约2300万美元。

事件核心要点

本次可疑提案的关键信息包括:提案创建于6月25日,目标合约为未验证状态,社区无法在链上直接审计其代码;提案者地址在4天前通过Railgun获得资金,资金来源具有隐私性;若投票通过,治理合约将执行delegatecall,存在资产操控风险;Tornado Cash流动性池目前安全,但DAO持有的约2300万美元TORN代币可能面临威胁。

治理攻击风险在哪

DAO治理中的delegatecall是一种高风险调用方式,它允许目标合约在治理合约的上下文中执行代码,理论上可直接操作DAO资产。由于该提案指向的合约未经验证,投票者难以判断其真实意图,这使得传统的事前代码审计无法发挥作用。结合提案者通过隐私工具Railgun获取资金的行为,该提案被安全研究员认定为具有恶意特征。

后续需要观察什么

社区应持续跟踪该提案的投票状态与执行结果,关注是否有异常大额投票或新地址集中参与。同时需留意Tornado Cash贡献者或第三方安全团队是否会发布针对该未验证合约的技术解析,以确认是否存在具体的资产转移或权限篡改逻辑。