据 Woofun AI 消息，2026 年 6 月 25 日凌晨，Tornado Cash DAO 投票页面出现编号 67 的恶意治理提案，企图通过伪装升级窃取社区金库资产。该提案声称建立 0.5% 费率标准与 90% 动态通缩销毁方案，并申请 50 枚 TORN 作为 Gas 费补偿，实则暗藏致命陷阱。提案代码未在 Etherscan 验证，仅显示机器码，L2BEAT 研究员与安全研究员 Pascal Caversaccio 审查发现其中包含一个硬编码的攻击者钱包地址（0x5efda50f22d34f272c7077689d6abc42f15e285f），该地址与真实治理地址（0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce）前 15 个字符相同，旨在替换最高权限以瘫痪协议。攻击者钱包在提案提交前 4 天通过 Railgun 接收转账以混淆资金来源，显示出精心策划的特征。截至目前，提案获得 0 票赞成，27,163 枚 TORN 反对，投票将于 6 月 30 日关闭。

Woofun AI 整理数据显示，此次攻击目标直指约 2300 万美元的质押 TORN 代币，若成功将导致协议彻底停摆。这是 Tornado Cash 继 2023 年 5 月遭受类似治理攻击后的再次遇袭，凸显了 DAO 治理中代币权力被操控的持续风险。事件表明，未经验证的合约代码与地址混淆手段已成为新型攻击向量，社区需警惕此类伪装成技术升级的恶意提案。建议用户关注安全预警、对未验证合约提案投反对票、委托投票权，并呼吁协议引入时间锁机制以阻断即时执行风险。此次事件是继 2023 年攻击后，去中心化自治组织面临治理安全挑战的又一典型案例。