🟠 Systemy monitorujące oznaczyły nietypowe wypłaty związane z umową nagród OG Labs, wkrótce po tym nastąpiły wpłaty do Tornado Cash. To nie był błąd — to była uprzywilejowana funkcja używana dokładnie zgodnie z zamysłem… po prostu w niewłaściwych rękach.
🟠 Atakujący wykonał emergencyWithdraw(), funkcję administracyjną na wysokim poziomie, i wyciągnął około 520,000 tokenów OG (~$516K) na jeden adres, zanim przekierował środki przez Tornado Cash. Czyste wyjście, zero hałasu, klasyczna książka ruchów.
🟠 To jest niewygodne przypomnienie, które nikt nie lubi: gdy umowa ma uprawnienia awaryjne lub administracyjne, bezpieczeństwo nie kończy się na audytach — kończy się na zarządzaniu kluczami i kontroli dostępu. Jedna skompromitowana rola wystarczy, aby wyczerpać wszystko bez wykorzystania pojedynczej linii kodu.
🟠 Mieszanie przez Tornado natychmiast sugeruje, że nie ma zamiaru negocjować ani zwracać funduszy. To nie był eksperyment, to była wypłata gotówki.
⚠️ W DeFi „funkcje awaryjne” są mieczem obosiecznym. Ratują protokoły w kryzysach — i zabijają je, gdy zawiodą zarządzanie lub klucze. Nie potrzeba żadnych exploitów, tylko uprawnienia w niewłaściwym miejscu.
