🟠 Sistem pemantauan menandai penarikan abnormal yang terkait dengan kontrak hadiah OG Labs, segera diikuti oleh setoran ke Tornado Cash. Ini bukan bug — itu adalah fungsi istimewa yang digunakan persis seperti yang dirancang… hanya di tangan yang salah.
🟠 Seorang penyerang menjalankan emergencyWithdraw(), fungsi admin tingkat tinggi, dan menarik sekitar 520,000 token OG (~$516K) ke satu alamat sebelum mengalihkan dana melalui Tornado Cash. Keluar bersih, tanpa suara, buku pedoman klasik.
🟠 Ini adalah pengingat tidak nyaman yang tidak disukai siapa pun: ketika kontrak memiliki kekuatan darurat atau admin, keamanan tidak berakhir di audit — itu berakhir pada manajemen kunci dan kontrol akses. Satu peran yang terkompromi sudah cukup untuk menguras segalanya tanpa mengeksploitasi satu baris kode pun.
🟠 Mencampurkan melalui Tornado segera menunjukkan bahwa tidak ada niat untuk bernegosiasi atau mengembalikan dana. Ini bukan eksperimen, ini adalah pencairan uang.
⚠️ Dalam DeFi, “fungsi darurat” adalah pedang bermata dua. Mereka menyelamatkan protokol dalam krisis — dan membunuh mereka ketika pemerintahan atau kunci gagal. Tidak perlu eksploitasi, hanya izin di tempat yang salah.