🟠 Системы мониторинга зафиксировали аномальные выводы, связанные с контрактом вознаграждений OG Labs, вскоре после этого поступили депозиты в Tornado Cash. Это не была ошибка — это была привилегированная функция, использованная именно так, как задумано... просто в неправильных руках.
🟠 Нападающий выполнил emergencyWithdraw(), высокоуровневую административную функцию, и вывел примерно 520,000 OG токенов (~$516K) на один адрес, прежде чем провести средства через Tornado Cash. Чистый выход, ноль шума, классическая схема.
🟠 Это неудобное напоминание, которое никто не любит: когда контракт имеет экстренные или административные полномочия, безопасность не заканчивается аудитами — она заканчивается управлением ключами и контролем доступа. Одной скомпрометированной роли достаточно, чтобы исчерпать всё, не эксплуатируя ни одной строки кода.
🟠 Смешивание через Торнадо сразу же вызывает подозрение, что нет намерения вести переговоры или возвращать средства. Это не было экспериментом, это была отгрузка средств.
⚠️ В DeFi «функции чрезвычайной ситуации» — это двуострое оружие. Они спасают протоколы в кризисных ситуациях — и уничтожают их, когда теряется управление или ключи. Эксплуатация не требуется, достаточно прав доступа в неправильном месте.