🟠 Uzraudzības sistēmas atzīmēja neparastus izņemšanas gadījumus, kas saistīti ar OG Labs atlīdzību līgumu, drīz pēc tam sekoja noguldījumi Tornado Cash. Tas nebija kļūda — tā bija privilēģēta funkcija, kas tika izmantota tieši tā, kā paredzēts… tikai nepareizajās rokās.
🟠 Uzbrucējs izpildīja emergencyWithdraw(), augsta līmeņa administratīvo funkciju, un izņēma apmēram 520,000 OG tokenus (~$516K) uz vienu adresi, pirms novirzīja līdzekļus caur Tornado Cash. Tīrs iziešana, nulles trokšņi, klasiskā spēļu grāmata.
🟠 Šis ir neērtais atgādinājums, ko neviens nepatīk: kad līgumam ir ārkārtas vai administratīvās pilnvaras, drošība nebeidzas pie auditiem — tā beidzas pie atslēgu pārvaldības un piekļuves kontroles. Viena kompromitēta loma ir pietiekama, lai iztukšotu visu, neizmantojot nevienu koda rindu.
🟠 Maisījums caur Tornado uzreiz liecina, ka nav nodoma sarunāties vai atgriezt līdzekļus. Tas nebija eksperiments, tā bija naudas izņemšana.
⚠️ DeFi, "emergences funkcijas" ir divas asmens. Tās glābj protokolus krīzes situācijās — un nogalinās tos, kad pārvaldība vai atslēgas neizdodas. Nav nepieciešama ekspluatācija, tikai atļaujas nepareizā vietā.