Odaily Planet Daily News Podle SlowMist byla zveřejněna analýza zranitelností správy Tornado.Cash: 20. května utrpěl Tornado.Cash útok správy a vykořisťovatel kontroloval správu Tornado.Cash prováděním škodlivých návrhů. 13. května uživatel zahájil Návrh 20 a v návrhu uvedl, že Návrh 20 je doplňkem k Návrhu 16 a má stejnou logiku provádění. Ale ve skutečnosti má smlouva o nabídce další samodestrukční logiku. Její tvůrce byl vytvořen prostřednictvím create2 a má funkci autodestrukce. Proto po sebedestrukci smlouvy o nabídce může uživatel stále stejným způsobem nasazovat různé bytecode je odeslán na stejnou adresu. Bohužel komunita v navrhované smlouvě neviděla žádnou nečestnou hru a mnoho uživatelů hlasovalo pro návrh. 18. května vykořisťovatel opakovaně uzamkl 0 tokenů do správy tím, že vytvořil nové adresy s více transakcemi. S využitím funkce, že smlouvu o návrhu lze zničit a znovu nasadit s novou logikou, zneškodnil 20. května (UTC) v 7:18 smlouvu o provedení návrhu a na stejnou adresu nasadil škodlivý kontrakt, jehož logikou bylo upravit the user's governance Počet zamčených tokenů. Poté, co útočník upravil návrh smlouvy, provedl škodlivý návrh smlouvy v 7:25 dne 20. května (UTC). Provedení návrhu se provádí prostřednictvím volání delegáta, provedení návrhu proto způsobí, že se hodnota zámku tokenu adresy kontrolované vývojářem ve smlouvě o správě změní na 10 000. Poté, co byl návrh proveden, útočník odemkl TORN tokeny z trezoru správy věcí veřejných. Zásoba TORN tokenů v trezoru byla vyčerpána, zatímco vykořisťovatelé převzali kontrolu nad správou.