Un código javascript malicioso identificado en la propuesta de gobernanza de Tornado Cash representa una amenaza potencial.
La propuesta fue presentada por el desarrollador de la comunidad Tornado Cash, Butterfly Effects, hace dos meses.
Si bien la vulnerabilidad se identifica en la versión IPFS, el pirata informático podría ser fácilmente rastreado.
Informes recientes destacaron un código javascript malicioso presente en la propuesta de gobernanza de dos meses presentada por el desarrollador de la comunidad Tornado Cash, Butterfly Effects. Según los hallazgos, los fondos depositados desde el 1 de enero de 2024 están en riesgo, lo que representa una posible explotación.
El criptorreportero chino Colin Wu compartió una publicación X en su página oficial conocida como Wu Blockchain, brindando información sobre la vulnerabilidad identificada en la propuesta maliciosa. Según su publicación, la propuesta de gobernanza podría haber resultado en la filtración de las notas de depósito de Tornado Cash a un servidor malicioso privado propiedad del presunto desarrollador desde el 1 de enero.
La comunidad ha descubierto que se ocultó un código javascript malicioso en la propuesta de gobernanza de 2 meses realizada por el presunto desarrollador de la comunidad Tornado Cash, Butterfly Effects, de la propuesta de gobernanza anterior 44 y, por lo tanto, estimamos que desde el 1 de enero las notas de depósito...
– Wu Blockchain (@WuBlockchain) 25 de febrero de 2024
En particular, la vulnerabilidad se identifica en la versión IPFS de Tornado Cash. Si bien Tornado Cash es una solución de privacidad descentralizada para transacciones criptográficas que mantiene el anonimato, la versión IPFS es resistente a la censura y la vigilancia. Por lo tanto, el código malicioso se ha convertido en una “trampa oculta” para el estafador, ya que la versión podría rastrearlo fácilmente.
Según el fundador de SlowMist, Yu Xian, el código malicioso en la versión IPFS de Tornado Cash permite el secuestro de certificados de depósito. Aunque hay indicios de robo de algunos fondos desde la aprobación de la propuesta, no está claro cuántos usuarios se ven afectados.
La comunidad insta a los usuarios a cambiar sus notas utilizando la implementación recomendada de IPFS ContextHash que se usó anteriormente para tornadocash.eth. Además, la comunidad pidió a los usuarios que votaran para vetar las propuestas previamente implementadas para restringir cualquier posible exploit malicioso oculto en el contrato de la propuesta.
El año pasado, un pirata informático robó más de 1 millón de dólares mediante una propuesta de gobernanza maliciosa. Supuestamente otorgando 1,2 millones de votos a la malévola propuesta, obtuvieron el control sobre el protocolo de finanzas descentralizadas (DeFi) de Tornado Cash, lo que llevó a la malversación de fondos.
La publicación El código malicioso en la propuesta de gobernanza de Tornado Cash plantea riesgos apareció por primera vez en Coin Edition.