• Škodlivý javascriptový kód identifikovaný v návrhu řízení Tornado Cash představuje potenciální hrozbu.

  • Návrh představil komunitní vývojář Tornado Cash Butterfly Effects před dvěma měsíci.

  • I když je zranitelnost identifikována ve verzi IPFS, hackera lze snadno sledovat.

Nedávné zprávy upozornily na škodlivý kód javascript přítomný ve dva měsíce starém návrhu řízení, který představil komunitní vývojář Tornado Cash Butterfly Effects. Podle zjištění jsou prostředky uložené od 1. ledna 2024 ohroženy a představují potenciální zneužití.

Čínský krypto reportér Colin Wu sdílel příspěvek X na své oficiální stránce známé jako Wu Blockchain, která poskytuje informace o zranitelnosti identifikované ve škodlivém návrhu. Podle jeho příspěvku mohl návrh řízení vést k úniku depozitních listů Tornado Cash na soukromý škodlivý server vlastněný údajným vývojářem od 1. ledna.

Komunita zjistila, že v 2 měsíce starém návrhu správy, který předložil údajný komunitní vývojář Tornado Cash Butterfly Effects z předchozího návrhu 44, byl skrytý škodlivý kód javascriptu, a proto odhadujeme, že od 1. ledna byly depozitní poznámky…

— Wu Blockchain (@WuBlockchain) 25. února 2024

Je pozoruhodné, že zranitelnost je identifikována ve verzi IPFS Tornado Cash. Zatímco Tornado Cash je decentralizované řešení ochrany soukromí pro krypto transakce zachovávající anonymitu, verze IPFS je odolná vůči cenzuře a sledování. Škodlivý kód se tak pro podvodníka stal „skrytou pastí“, protože verze by je snadno sledovala.

Podle zakladatele SlowMist Yu Xian umožňuje škodlivý kód ve verzi IPFS Tornado Cash unést depozitní certifikáty. Přestože od schválení návrhu existují náznaky, že některé finanční prostředky budou ukradeny, není jasné, kolik uživatelů se to týká.

Komunita naléhá na uživatele, aby změnili své poznámky pomocí doporučeného nasazení IPFS ContextHash, které bylo dříve používáno pro tornadocash.eth. Kromě toho komunita požádala uživatele, aby hlasovali pro vetování dříve nasazených návrhů, aby se omezilo jakékoli možné škodlivé zneužití skryté ve smlouvě o návrhu.

V loňském roce hacker ukradl více než 1 milion dolarů prostřednictvím škodlivého návrhu správy. Údajně udělením 1,2 milionu hlasů zlovolnému návrhu získali kontrolu nad protokolem decentralizovaného financování (DeFi) Tornado Cash, což vedlo ke zpronevěře finančních prostředků.

Příspěvek Škodlivý kód v návrhu řízení Tornado Cash představuje rizika  se objevil nejprve na Coin Edition.