🟠 Los sistemas de monitoreo marcaron retiros anormales relacionados con el contrato de recompensas de OG Labs, poco después seguidos por depósitos en Tornado Cash. Esto no fue un error, fue una función privilegiada utilizada exactamente como se diseñó… solo en las manos equivocadas.
🟠 Un atacante ejecutó emergencyWithdraw(), una función administrativa de alto nivel, y sacó aproximadamente 520,000 tokens OG (~$516K) a una sola dirección antes de enrutar los fondos a través de Tornado Cash. Salida limpia, cero ruido, manual clásico.
🟠 Este es el recordatorio incómodo que nadie quiere: cuando un contrato tiene poderes de emergencia o administrativos, la seguridad no termina en las auditorías, termina en la gestión de claves y el control de acceso. Un rol comprometido es suficiente para drenar todo sin explotar una sola línea de código.
🟠 Mezclar a través de Tornado sugiere inmediatamente que no hay intención de negociar o devolver fondos. Esto no fue un experimento, fue un retiro de efectivo.
⚠️ En DeFi, las "funciones de emergencia" son armas de doble filo. Salvan protocolos en crisis — y los matan cuando la gobernanza o las claves fallan. No se necesita explotación, solo permisos en el lugar equivocado.