🟠 Sistemas de monitoramento sinalizaram retiradas anormais ligadas ao contrato de recompensa do OG Labs, logo seguidas por depósitos no Tornado Cash. Isso não foi um bug — foi uma função privilegiada sendo usada exatamente como projetada… apenas nas mãos erradas.
🟠 Um atacante executou emergencyWithdraw(), uma função administrativa de alto nível, e retirou aproximadamente 520.000 tokens OG (~$516K) para um único endereço antes de rotear os fundos através do Tornado Cash. Saída limpa, zero barulho, manual clássico.
🟠 Este é o lembrete desconfortável que ninguém gosta: quando um contrato tem poderes de emergência ou administrativos, a segurança não termina nas auditorias — termina na gestão de chaves e controle de acesso. Um papel comprometido é suficiente para drenar tudo sem explorar uma única linha de código.
🟠 Misturar através do Tornado imediatamente sugere que não há intenção de negociar ou devolver fundos. Isso não foi um experimento, foi um saque.
⚠️ No DeFi, "funções de emergência" são armas de dois gumes. Elas salvam protocolos em crises — e os matam quando a governança ou as chaves falham. Nenhum exploit necessário, apenas permissões no lugar errado.