Tornado Cash sufre otro ataque de gobernanza: una propuesta falsa apunta a las arcas comunitarias de 23 millones de dólares

Foresight NewsPublicado a 2026-06-26Actualizado a 2026-06-26

Resumen

Tornado Cash vuelve a enfrentar un ataque de gobernanza: una propuesta fraudulenta apunta al tesoro comunitario de 23 millones de dólares El 25 de junio de 2026, apareció una sospechosa propuesta de gobernanza (#67) en Tornado Cash DAO. Aunque parecía legítima y proponía una actualización de tarifas y quema de tokens, el código del contrato no estaba verificado. El investigador Sergey Shemyakov alertó, y el análisis de Pascal Caversaccio reveló su verdadero propósito: cambiar sigilosamente la dirección del administrador del protocolo a una controlada por el atacante. La nueva dirección, muy similar a la legítima, habría dado al atacante el control total, permitiéndole drenar aproximadamente 23 millones de dólares en tokens TORN del tesoro de la DAO y vaciar los fondos de los relayers. La dirección del proponente recibió fondos a través del protocolo de privacidad Railgun días antes, oscureciendo el origen. Hasta ahora, la comunidad ha votado mayoritariamente en contra (27,163 votos vs. 0 a favor). La propuesta no alcanzará el quórum requerido a menos que haya un cambio drástico. Este es el segundo ataque de este tipo que sufre Tornado Cash, tras uno similar en 2023. El incidente subraya los riesgos persistentes en la gobernanza de las DAOs. Para los usuarios, las recomendaciones clave son: seguir las alertas de investigadores de seguridad, votar en contra de propuestas con contratos no verificados y delegar los tokens de gobernanza si no se participa activamente. Para los...


Por:angelilu, Foresight News


A las 6:18 a.m. del 25 de junio de 2026, una propuesta de gobernanza numerada como 67 apareció en la página de votación del DAO de Tornado Cash.



El título era muy formal: "Establecimiento de una tarifa estándar del 0,5% y un esquema de deflación dinámica del 90%". El cuerpo del texto, extenso y florido, afirmaba querer actualizar el registro de relayers a una arquitectura "V5 Strategy A", quemar permanentemente el 90% de las comisiones del protocolo, distribuir el 10% a los stakers, e incluía un modelo económico de "ciclo virtuoso de riqueza".


El proponente también solicitaba 50 TORN del tesoro para compensar el Gas prepago al desplegar el contrato, un detalle que hacía que toda la propuesta pareciera escrita por un contribuyente comunitario serio y responsable que ponía dinero de su bolsillo.


Pero el código del contrato de esta propuesta no había sido verificado en absoluto. Es decir, la lógica de ejecución de la propuesta (Calldata) no había sido verificada en exploradores de bloques como Etherscan. Sin verificación, la comunidad solo veía un montón de código máquina, imposible de revisar directamente. Las propuestas normales en la historia de Tornado Cash siempre incluían este paso; esta propuesta lo omitió.


El investigador de L2BEAT, Sergey Shemyakov, fue el primero en notarlo. Aproximadamente 8 horas después de que la propuesta fuera publicada, etiquetó al investigador de seguridad Pascal Caversaccio diciendo: "La lógica de esta propuesta es anormalmente compleja, por favor ayúdame a revisarla de forma independiente."



Pascal Caversaccio, investigador de Security Alliance, pronto llegó a una conclusión.


El propósito real de la propuesta: cambiar subrepticiamente la dirección del administrador del protocolo


Caversaccio utilizó herramientas de desensamblaje para revertir el bytecode del contrato de la propuesta y determinó que esta era maliciosa.


El código contenía una función llamada "governance (gobernador)", con una única funcionalidad: devolver una dirección que le dice al protocolo "quién es el administrador". Y la dirección codificada en esta función era la cartera del atacante.



En la arquitectura de Tornado Cash, las diferentes partes del protocolo llaman a esta función para confirmar a quién pertenece la autoridad máxima. Si la propuesta se aprobaba y ejecutaba, la dirección que originalmente apuntaba al contrato de gobernanza comunitaria sería silenciosamente reemplazada por esta dirección del atacante.


La dirección de gobernanza real es 0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce;
La dirección falsificada del atacante es 0x5efda50f22d34f272c7077689d6abc42f15e285f.


Las primeras 15 letras de ambas direcciones eran idénticas; la diferencia comenzaba a partir del carácter 16. Es muy difícil notarlo a simple vista.


Si esta propuesta se aprobaba, la consecuencia sería: la dirección del "administrador máximo" reconocida por el protocolo sería cambiada subrepticiamente por la del atacante. En ese momento, el atacante podría usar esta identidad para retirar aproximadamente 23 millones de dólares en tokens TORN actualmente bloqueados en el contrato de gobernanza, dinero que los miembros de la comunidad habían apostado para participar en las votaciones. Además, el atacante podría forzar el saldo de todos los relayer (proveedores de servicios que ayudan a los usuarios a reenviar transacciones) dentro del protocolo a cero, paralizando todo el protocolo.


Quién es el atacante y de dónde viene el dinero


La dirección de la cartera del creador de la propuesta es 0xd4eca8c9242b9f9faa3cf19a78defc21dc97a925.


Caversaccio rastreó el origen de los fondos de esta dirección y descubrió que apenas 4 días antes de presentar la propuesta había recibido una transferencia. El remitente era Railgun, otro protocolo de privacidad y mezcla de criptomonedas en cadena, y competidor directo de Tornado Cash. Una transferencia a través de Railgun significa que el origen de los fondos queda ofuscado, imposibilitando su trazabilidad hasta una identidad real.



Situación de la votación después de que la comunidad lo descubriera


Hasta el momento, el resultado de la votación de esta propuesta es: 0 votos a favor, 27.163 TORN en contra, representando el 100%. La votación cierra el 30 de junio.


Las reglas de gobernanza de Tornado Cash requieren al menos 100.000 TORN participando en la votación para alcanzar el quórum; actualmente solo se ha llegado al 27%. A menos que en los próximos 4 días aparezcan votos a favor anormalmente masivos que empujen el quórum y reviertan el resultado, esta propuesta caducará y el resultado de ser rechazada será su no ejecución. Pero el efecto advertencia de este incidente es mayor.


Este ya es el segundo ataque de este tipo que enfrenta Tornado Cash. En mayo de 2023, un atacante obtuvo 1,2 millones de votos de control de gobernanza a través de una propuesta que contenía una función de autodestrucción oculta, mientras que todo el DAO tenía solo 70.000 votos legítimos en ese momento. En ese ataque, el atacante retiró aproximadamente 2,17 millones de dólares en TORN, utilizando el propio Tornado Cash como herramienta para lavar el dinero, luego presentó una propuesta para "restaurar la gobernanza" y se retiró con una ganancia neta de unos 900.000 dólares. Después de eso, nadie reparó fundamentalmente esta estructura de gobernanza.


Ataques de gobernanza en DAOs, ¿cómo protegerse para el usuario común?


Los ataques de gobernanza ya son un riesgo común en Web3, no una excepción de un protocolo particular. En abril de 2022, Beanstalk fue atacado por un atacante que usó un préstamo flash para tomar prestados 1.000 millones de dólares en poder de voto temporal, aprobó una propuesta, transfirió 182 millones de dólares y pagó el préstamo en la misma transacción, todo en menos de un minuto. En febrero del mismo año, Build Finance DAO fue atacado por un atacante que obtuvo control falsificando tokens de gobernanza, vaciando un tesoro de 11 millones de dólares.


Las formas de ataque evolucionan: desde préstamos flash para acaparar votos, hasta funciones de autodestrucción ocultas, hasta el reemplazo de caracteres en direcciones como en esta ocasión. Pero la lógica subyacente sigue siendo la misma: el poder de un DAO proviene de los tokens, y los tokens se pueden prestar, falsificar u ofuscar. Cualquier mecanismo de gobernanza que pueda ser manipulado por código puede ser atacado.


Para los usuarios comunes que poseen tokens de gobernanza, hay algunas vías prácticas disponibles. Primero, prestar atención a las alertas en tiempo real de investigadores de seguridad; este ataque fue alertado primero por un investigador de L2BEAT. Segundo, las propuestas que apuntan a contratos no verificados probablemente requieran un voto en contra directo. Tercero, si posees tokens de gobernanza de un protocolo pero no planeas participar activamente, delegar tu poder de voto a miembros activos de la comunidad es más seguro que dejar los tokens inactivos en tu cartera; los tokens silenciosos solo dificultan alcanzar el quórum.


Para los desarrolladores de protocolos, una defensa más fundamental es introducir un tiempo de bloqueo (timelock) en la capa de gobernanza: una propuesta aprobada no se ejecuta inmediatamente, dejando una ventana de 48 a 72 horas para que la comunidad y los investigadores de seguridad tengan la oportunidad de revisarla y activar una pausa de emergencia. Protocolos como Compound y Aave ya tienen este mecanismo como estándar; Tornado Cash todavía no lo tiene, lo que también es una elección extrema suya en cuanto a cumplimiento normativo y resistencia a la censura.

Preguntas relacionadas

Q¿Cuál es el objetivo principal del falso propuesto 67 en el DAO de Tornado Cash?

AEl objetivo principal del falso propuesto 67 era cambiar de manera encubierta la dirección de administrador del protocolo (la función 'governance') por una dirección controlada por el atacante. Si se aprobaba, esto habría permitido al atacante robar aproximadamente 23 millones de dólares en tokens TORN del tesoro de la comunidad y vaciar los fondos de todos los relevistas del protocolo.

Q¿Cómo se detectó que la propuesta 67 era maliciosa y quiénes intervinieron en su análisis?

AEl investigador de L2BEAT, Sergey Shemyakov, fue el primero en notar que el código del contrato de la propuesta no estaba verificado en un explorador de bloques como Etherscan. Luego solicitó una revisión independiente al investigador de seguridad Pascal Caversaccio, quien descompiló el código del contrato, revelando la función maliciosa que devolvía la dirección del atacante en lugar de la gobernanza legítima.

Q¿Qué similitudes tiene este ataque de gobernanza con incidentes anteriores en Tornado Cash?

AEste es el segundo ataque de gobernanza importante contra Tornado Cash. En mayo de 2023, un atacante tomó el control de la gobernanza mediante una propuesta que ocultaba una función de autodestrucción, robando aproximadamente 2,17 millones de dólares en TORN. En ambos casos, la estructura de gobernanza fundamental no se corrigió después del primer ataque, dejando una vulnerabilidad explotable.

Q¿Qué medidas de seguridad pueden tomar los usuarios ordinarios para protegerse contra ataques de gobernanza en DAOs?

ALos usuarios pueden: 1) Seguir las alertas en tiempo real de investigadores de seguridad. 2) Votar en contra de propuestas vinculadas a contratos no verificados. 3) Delegar sus derechos de voto a miembros activos y confiables de la comunidad si no planean participar activamente, en lugar de dejar los tokens inactivos en sus billeteras.

Q¿Qué mecanismo de protección fundamental falta en el sistema de gobernanza de Tornado Cash que podría haber mitigado este ataque?

AA Tornado Cash le falta un 'timelock' o período de espera en su capa de gobernanza. Este mecanismo, común en protocolos como Compound y Aave, introduce un retraso (por ejemplo, 48-72 horas) entre la aprobación de una propuesta y su ejecución, dando tiempo a la comunidad y a investigadores para revisarla y, si es necesario, activar una pausa de emergencia.

Lecturas Relacionadas

La primera persona en seguridad informática, Dawn Song, se une a Meta

La profesora Dawn Song (Song Xiaodong), de la Universidad de California en Berkeley, se ha unido a Meta como vicepresidenta de investigación de IA en su Superintelligence Labs. Song, una de las académicas más influyentes en seguridad informática y de IA, fue profesora en UC Berkeley, ganadora de la Beca MacArthur y miembro de ACM e IEEE. Es conocida por su trabajo pionero, incluido el análisis de flujo de datos dinámico (Dynamic Taint Analysis). También es cofundadora de Virtue AI, una startup de seguridad de IA. Su equipo, incluidos otros cofundadores de Virtue AI, se unirá a Meta, lo que fortalecerá la capacidad de la compañía en seguridad de agentes de IA. Esta contratación ocurre en un momento de mayor atención a los riesgos de seguridad de la IA. Además, se menciona que Denny Zhou, una figura clave en el avance del razonamiento de los modelos de lenguaje grandes, también se unió a Meta recientemente.

marsbitHace 28 min(s)

La primera persona en seguridad informática, Dawn Song, se une a Meta

marsbitHace 28 min(s)

Competencia encriptada de instituciones coreanas: doble explosión de stablecoins y RWA

Corea del Sur está atravesando un cambio estructural en cripto, pasando de ser un mercado minorista clave a un ecosistema institucional impulsado por monedas estables y tokenización de activos del mundo real (RWA). Las monedas estables respaldadas por won son ahora una prioridad regulatoria y empresarial, vista como una defensa contra la fuga de capitales hacia dólares digitales como USDC. Grandes bancos como KB, Hana y NH, junto con procesadores de pago (Shinhan Card, BC Card) y gigantes tecnológicos (KakaoPay, NAVER Pay), están realizando pilotos activos de pagos y remesas. Para proyectos cripto nativos, este es el momento clave para establecer asociaciones como proveedores de infraestructura subyacente (blockchain, billeteras, custodia). En RWA, Corea se está centrando en sus sectores industriales clave. Los principales corredores como Mirae Asset y Hanwha Investment están explorando la tokenización de activos como financiación naval, cadena de suministro de defensa y propiedad intelectual del K-pop, con un marco legal clarificador que entrará en vigor en 2027. Las oportunidades para los proyectos cripto radican en proporcionar infraestructura de distribución global, liquidez cross-chain y herramientas de habilitación para estos emisores institucionales. El usuario final está siendo abordado a través de grandes plataformas de consumo como NAVER (en proceso de adquirir el operador de Upbit, Dunamu) y Kakao, que están integrando activamente billeteras y monedas estables en sus super-apps. Con un marco regulatorio que se está definiendo y una infraestructura institucional que ya se está construyendo, los proyectos que establezcan colaboraciones prácticas ahora están posicionados para definir el futuro de los activos digitales en Corea del Sur.

Foresight NewsHace 34 min(s)

Competencia encriptada de instituciones coreanas: doble explosión de stablecoins y RWA

Foresight NewsHace 34 min(s)

La nueva herramienta de código abierto de NVIDIA para MoE: Una sola línea de 'import' acelera el ajuste fino 3.7 veces

Con solo una línea de importación, la herramienta NeMo AutoModel de NVIDIA acelera el ajuste fino de modelos MoE hasta 3.7 veces. Este nuevo código abierto, basado en Transformers v5 de Hugging Face, permite una mejora significativa sin necesidad de modificar las API existentes. Las pruebas en una configuración de 8 GPUs H100 muestran un aumento en el rendimiento de entrenamiento de 3.4 a 3.7 veces y una reducción del 29% al 32% en el uso de memoria GPU para modelos como Qwen3-30B-A3B. La clave radica en tres tecnologías: Paralelismo de Expertos (EP) para distribuir pesos y reducir la presión en la memoria, DeepEP para fusionar computación y comunicación, y TransformerEngine para optimizar operaciones clave. Juntas, permiten un ajuste más rápido y eficiente de los grandes modelos de lenguaje con arquitectura Mixture of Experts (MoE). El recurso ya está disponible en GitHub, ofreciendo una actualización sencilla para quienes ya utilizan Transformers v5, con mejoras drásticas en velocidad y consumo de recursos durante la fase de fine-tuning.

marsbitHace 1 hora(s)

La nueva herramienta de código abierto de NVIDIA para MoE: Una sola línea de 'import' acelera el ajuste fino 3.7 veces

marsbitHace 1 hora(s)

Nunca imaginé que la primera aplicación práctica de la IA x Crypto sería la auditoría de seguridad

Según los datos, hasta junio de 2026, el TVL total en DeFi ha caído un 39% desde principios de año, mientras que los incidentes de seguridad se han intensificado, con un total de 121 ataques de hackers y pérdidas acumuladas de aproximadamente 942 millones de dólares. La rápida evolución de las herramientas de IA, especialmente tras el lanzamiento del modelo Claude Mythos por parte de Anthropic, ha reducido drásticamente los costes y la habilidad necesaria para encontrar vulnerabilidades en contratos inteligentes. Los atacantes pueden ahora escanear sistemáticamente miles de contratos, incluso descompilando bytecode, lo que ha acortado el ciclo de descubrimiento y explotación a minutos. Esto ha expuesto las deficiencias del modelo de auditoría tradicional, donde los informes tienen una validez limitada. Incluso protocolos auditados como Drift Protocol o KelpDAO han sido vulnerados mediante ingeniería social o fallos en la configuración operativa, mostrando que las auditorías de código ya no son suficientes. La industria se ve forzada a adaptarse: los proyectos requieren auditorías defensivas recurrentes bajo nuevos estándares, y las firmas de auditoría deben evolucionar de un modelo de informe puntual a servicios continuos de monitorización y verificación en tiempo real. Casos como la auditoría IA de Firepan para Curve Finance, que detectó una vulnerabilidad crítica pasada por alto en seis auditorías manuales, demuestran el potencial defensivo de la IA. En conclusión, la seguridad en DeFi ha dejado de ser un trámite previo al lanzamiento para convertirse en una infraestructura que requiere inversión continua, redefiniendo tanto las prácticas de los proyectos como el modelo de negocio de las auditorías.

marsbitHace 1 hora(s)

Nunca imaginé que la primera aplicación práctica de la IA x Crypto sería la auditoría de seguridad

marsbitHace 1 hora(s)

Nadie se lo esperaba: la primera aplicación real de IA x Crypto es la auditoría de seguridad

Los datos muestran que el valor total bloqueado (TVL) en DeFi cayó de aproximadamente 1150 mil millones de dólares a 700 mil millones en el primer semestre de 2026. Paralelamente, los ataques cibernéticos han causado pérdidas cercanas a los 942 millones de dólares en 121 incidentes, con el segundo trimestre siendo el más activo. La popularización de herramientas de IA de nueva generación ha reducido drásticamente el costo y la habilidad necesarios para encontrar vulnerabilidades en contratos inteligentes, desafiando el modelo tradicional de auditoría de seguridad. Los atacantes ahora utilizan IA para escanear miles de contratos, identificar patrones de vulnerabilidad y ejecutar exploits en minutos, lo que hace que los informes de auditoría tradicionales, con validez de meses, sean obsoletos. Incluso protocolos líderes y ampliamente auditados, como Drift Protocol y KelpDAO, han sufrido ataques que explotan fallas en la lógica de negocio, configuración de infraestructura o ingeniería social. Casos como la explotación de contratos históricos desplegados hace años demuestran que el período de protección de una auditoría puede haberse reducido a cero. En respuesta, las empresas de auditoría están desarrollando sistemas de auditoría asistidos por IA y evolucionando de un modelo de informe puntual a servicios de monitoreo continuo, verificación formal y detección de riesgos en tiempo real. Proyectos como Curve Finance y Zcash han beneficiado de auditorías con IA que descubrieron vulnerabilidades complejas pasadas por alto en revisiones humanas. En conclusión, la era de la "auditoría única para siempre" ha terminado. La seguridad debe ser una inversión continua. El sector de la auditoría está en transición de un modelo de bonanza a uno de competencia, donde los actores que se adapten e integren la IA en sus servicios de manera proactiva tendrán mayor probabilidad de sobrevivir.

链捕手Hace 1 hora(s)

Nadie se lo esperaba: la primera aplicación real de IA x Crypto es la auditoría de seguridad

链捕手Hace 1 hora(s)

Trading

Spot
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow