Il ricercatore di Paradigm Samczsun ha twittato che Tornado.Cash ha subito un attacco alla governance. L'aggressore si è aggiudicato 1.200.000 voti tramite una proposta dannosa (aggiungendo ulteriori funzionalità alla proposta che gli hanno permesso di aggiornare la logica della proposta per ottenere voti falsi). Poiché questo supera il numero di circa 700.000 voti legali, l'aggressore ha ora il pieno controllo.
Con i controlli di governance, un utente malintenzionato può: estrarre tutti i voti bloccati; esaurire tutti i token nel contratto di governance, disabilitare il router; Tuttavia, gli aggressori non riescono ancora a svuotare i singoli pool.