El atacante de Tornado Cash presenta una propuesta para revertir el control de la gobernanza, derribado un 40% en 2 días

El popular mezclador de criptomonedas Tornado Cash perdió el control total de su gobierno debido a un atacante que implementó un contrato malicioso para acceder a miles de votos. El incidente fue detectado por primera vez por @samczsun, un investigador de la firma de inversión Paradigm, centrada en web3, durante el fin de semana.
Según el tweet de Samczsun, el atacante afirmó haber utilizado la misma lógica que una propuesta aprobada anteriormente al crear su propuesta maliciosa sin revelar que agregó una función adicional.
Sin embargo, en un acontecimiento más reciente, el atacante “publicó una nueva propuesta para restaurar el estado de gobernanza”, según una publicación en el foro de la comunidad del mezclador.
El atacante de TornadoCash implementó una nueva propuesta que, de ejecutarse, aparentemente revertiría el daño causado a la funcionalidad de Gobernanza. O están haciendo un gran trolling o terminará siendo una lección costosa pero no desastrosa sobre seguridad de la gobernanza. https://t.co/QMWYFsi8kP
– 0xdeadf4ce (@0xdface) 21 de mayo de 2023
El atacante se apodera de la gobernanza del efectivo Tornado
Inmediatamente después de que los votantes de Tornado Cash aprobaran la propuesta, el explotador implementó la función de parada de emergencia y actualizó la lógica de la propuesta para otorgarse 1,2 millones de votos falsos. Los votos del atacante son más de 700.000 legítimos, por lo que han obtenido el control total de la gobernanza del mezclador de criptomonedas.
Con control total, el atacante puede hacer lo que quiera, como retirar todos los votos bloqueados, vaciar todos los tokens del contrato de gobernanza y bloquear el enrutador. Sin embargo, no pueden drenar piscinas individuales.
“Finalmente, ¿qué podemos aprender de esto? ¡Cuidado con lo que votas! Si bien todos sabemos que las descripciones de las propuestas pueden mentir, ¡la lógica de las propuestas también puede mentir! Si depende del código fuente verificado para permanecer igual, asegúrese de que el contrato no tenga la capacidad de autodestruirse”, advirtió Samczsun.
Más de 2,1 millones de dólares en tokens ROBADOS robados
Poco después de hacerse con el contrato de Tornado Cash, el explotador extrajo 473.000 TORN (el token nativo del mezclador) por valor de más de 2,1 millones de dólares del contrato de gobernanza, según un tweet del grupo de medios Web3 @WhaleCoinTalk. El mal actor vendió los activos en la cadena y depositó las ganancias nuevamente en Tornado.
Tornadosaurus-Hex, un miembro activo de la comunidad Tornado Cash, confirmó que el ataque había comprometido todos los fondos en la gobernanza y pidió a todos los miembros que retiraran sus activos bloqueados en el contrato.
Si bien instó a los usuarios a extraer sus fondos, Tornadosaurus-Hex también intentó implementar un contrato que podría revertir los cambios.
“Una solución propuesta para el ataque que posiblemente podría ser viable es revertir directamente los cambios de estado que el atacante realizó en el contrato. Como tal, he implementado un contrato que debería poder hacer exactamente esto... Compruébelo y, si es posible, propóngalo. Veamos si podemos lograrlo, de lo contrario, diría que estamos jodidos”, dijo el miembro de la comunidad.
Como era de esperar, el token nativo del proyecto se desplomó después de que surgió la noticia. TORN saltó a 7,3 dólares el 20 de mayo, pero perdió aproximadamente el 40% de su valor en los días siguientes y ahora se sitúa en 4,5 dólares.
La publicación Tornado Cash Attacker presenta una propuesta para revertir el control de la gobernanza, derribada un 40% en 2 días apareció por primera vez en CryptoPotato.