🟠 I sistemi di monitoraggio hanno segnalato prelievi anomali legati al contratto di ricompensa di OG Labs, seguiti poco dopo da depositi in Tornado Cash. Non era un bug — era una funzione privilegiata utilizzata esattamente come progettato… solo nelle mani sbagliate.
🟠 Un attaccante ha eseguito emergencyWithdraw(), una funzione di amministrazione di alto livello, e ha prelevato circa 520.000 token OG (~$516K) a un singolo indirizzo prima di instradare i fondi attraverso Tornado Cash. Uscita pulita, zero rumore, classico manuale.
🟠 Questo è il promemoria scomodo che nessuno ama: quando un contratto ha poteri di emergenza o di amministrazione, la sicurezza non finisce con le verifiche — finisce con la gestione delle chiavi e il controllo degli accessi. Un ruolo compromesso è sufficiente per prosciugare tutto senza sfruttare una singola riga di codice.
🟠 Mischiare attraverso Tornado suggerisce immediatamente che non c'è intenzione di negoziare o restituire fondi. Non era un esperimento, era un prelievo di denaro.
⚠️ In DeFi, le “funzioni di emergenza” sono armi a doppio taglio. Salvano i protocolli nelle crisi — e li uccidono quando la governance o le chiavi falliscono. Non è necessario alcun exploit, solo permessi nel posto sbagliato.
