Nhà nghiên cứu Mô hình Samczsun đã tweet rằng vào lúc 15:25 ngày 20 tháng 5 năm 2023, TornadoCash đã gặp phải một cuộc tấn công quản trị. Kẻ tấn công đã tự cấp cho mình 1,2 triệu quyền biểu quyết thông qua một đề xuất độc hại, vượt quá khoảng 700.000 phiếu bầu hợp pháp và giành được quyền kiểm soát quản trị. Điều này có nghĩa là kẻ tấn công có thể rút tất cả phiếu bầu bị khóa, rút ​​tất cả mã thông báo trong hợp đồng quản trị và vô hiệu hóa bộ định tuyến, mặc dù kẻ tấn công vẫn không thể rút cạn các nhóm riêng lẻ. 

Khi những kẻ tấn công tạo đề xuất độc hại, chúng tuyên bố sẽ sử dụng logic tương tự như các đề xuất đã được thông qua trước đó. Tuy nhiên, họ đã thêm một tính năng bổ sung trong đó một khi đề xuất đã được các cử tri thông qua, kẻ tấn công có thể tự cấp cho mình các phiếu bầu giả bằng cách cập nhật logic đề xuất bằng chức năng EmergencyStop.