Peneliti paradigma Samczsun mentweet bahwa Tornado.Cash mengalami serangan tata kelola. Penyerang memberikan dirinya sendiri 1.200.000 suara melalui proposal jahat (menambahkan fungsi tambahan ke proposal yang memungkinkan dia memperbarui logika proposal untuk mendapatkan suara palsu). Karena jumlahnya melebihi sekitar 700.000 suara sah, penyerang kini memiliki kendali penuh.
Dengan kontrol tata kelola, penyerang dapat: mengekstraksi semua suara yang terkunci; menghabiskan semua token dalam kontrak tata kelola; menonaktifkan router; Namun, penyerang masih tidak dapat menguras kumpulan individu.