区块链安全研究员Sergey Shemyakov示警：Tornado Cash DAO出现一份高度可疑的治理提案

  区块链安全研究员Sergey Shemyakov于6月25日在X平台发出预警，指Tornado Cash DAO约8小时前出现一份高度可疑的治理提案，呼吁社群独立审查。该提案存在多项异常讯号，一旦透过执行，可能直接威胁DAO金库中价值约2300万美元的TORN代币。

四大异常讯号逐项解析

  研究员细数该提案的四项危险特征。第一，提案合约代码未经验证——这在Tornado Cash DAO的历史提案中极为罕见，研究员认为此举本身已构成恶意意图的明确讯号。第二，提案建立者地址于4天前透过隐私协议Railgun获得资金，混淆，行为模式高度可疑。第三，提案描述内容疑似诱导性包装，意图误导投票者忽略真正风险。

  但最关键的异常在第四点：提案的目标合约一旦透过并执行，治理合约将以delegatecall方式呼叫目标合约函式。此机制意味攻击者可借此取得DAO的极高许可权，包含控制金库资金提取。

混币池安全无虞，DAO金库成唯一标靶

  研究员强调，Tornado Cash本身的混币池合约不受此提案影响，使用者资金安全无虞。本次攻击的目标完全锁定在DAO治理层——若提案成功过关，攻击者可直接动用DAO金库中价值约2300万美元的TORN代币，而非影响混币服务的运作。

2023年历史重演？

  值得注意的是，Tornado Cash DAO并非首次遭遇此类威胁。2023年5月，攻击者曾透过一份恶意治理提案，成功取得120万张虚假投票权，夺取协议控制权并盗走1万枚TORN，导致币价一度暴跌50%。当时Open Zeppelin将此攻击定性为「变形攻击」( morphic attack)，凸显DAO治理机制的固有脆弱性。

  Shemyakov呼吁所有TORN代币持有者在提案正式进入投票阶段前保持高度警觉，独立验证提案内容，切勿盲目投票。