Tornado Cash ciblé par une nouvelle attaque de gouvernance : une fausse proposition visait un trésor communautaire de 23 millions de dollars
Le 25 juin 2026, une proposition de gouvernance suspecte (n°67) est apparue sur le DAO de Tornado Cash. Présentée comme une mise à jour des frais et de la tokenomie, elle demandait le remboursement de 50 TORN pour les frais de gaz, semblant légitime.
Cependant, son code n'était pas vérifié sur Etherscan. Alerté, le chercheur Sergey Shemyakov a demandé un audit. Le chercheur en sécurité Pascal Caversaccio a découvert la vérité : la proposition contenait une fonction malveillante visant à remplacer discrètement l'adresse administrative du protocole par une adresse contrôlée par l'attaquant (très similaire à l'adresse légitime). Si elle avait été adoptée, l'attaquant aurait pu drainer la trésorerie du DAO (environ 23 millions de dollars en TORN) et vider les fonds des relais.
L'adresse de l'attaquant avait reçu des fonds via le protocole de confidentialité Railgun quelques jours auparavant, masquant son origine. La communauté a massivement voté contre la proposition (27 163 TORN contre, 0 pour), et avec une participation insuffisante, elle devrait échouer.
Cet incident rappelle une attaque similaire sur Tornado Cash en mai 2023, où l'attaquant avait volé 2,17 millions de dollars. Les attaques de gouvernance DAO (comme sur Beanstalk ou Build Finance) restent un risque majeur dans le Web3.
Pour se protéger, les utilisateurs doivent : suivre les alertes des chercheurs, rejeter les propositions au code non vérifié, et déléguer leurs droits de vote s'ils ne participent pas activement. Pour les développeurs, l'implémentation d'un délai d'exécution (timelock) après un vote est une mesure de sécurité fondamentale, absente chez Tornado Cash par choix de conception.
Foresight News06/26 06:05