El investigador de Paradigm Samczsun tuiteó que Tornado.Cash sufrió un ataque de gobernanza. El atacante se otorgó 1.200.000 votos a través de una propuesta maliciosa (agregando una funcionalidad adicional a la propuesta que le permitió actualizar la lógica de la propuesta para obtener votos falsos). Dado que esto supera el número de aproximadamente 700.000 votos legales, el atacante ahora tiene el control total.
Con los controles de gobernanza, un atacante puede: extraer todos los votos bloqueados; agotar todos los tokens en el contrato de gobernanza; deshabilitar el enrutador. Sin embargo, los atacantes todavía no pueden drenar grupos individuales.