Un code javascript malveillant identifié dans la proposition de gouvernance de Tornado Cash constitue une menace potentielle.
La proposition a été présentée par Butterfly Effects, développeur de la communauté Tornado Cash, il y a deux mois.
Bien que la vulnérabilité soit identifiée dans la version IPFS, le pirate informatique pourrait être facilement suivi.
Des rapports récents ont mis en évidence un code javascript malveillant présent dans la proposition de gouvernance vieille de deux mois introduite par Butterfly Effects, développeur de la communauté Tornado Cash. Selon les conclusions, les fonds déposés depuis le 1er janvier 2024 sont menacés, ce qui constitue un exploit potentiel.
Le journaliste crypto chinois Colin Wu a partagé un message X sur sa page officielle connue sous le nom de Wu Blockchain, fournissant un aperçu de la vulnérabilité identifiée dans la proposition malveillante. Selon son message, la proposition de gouvernance aurait pu entraîner la fuite des notes de dépôt de Tornado Cash vers un serveur privé malveillant appartenant au développeur présumé depuis le 1er janvier.
La communauté a découvert qu'un code javascript malveillant était caché dans la proposition de gouvernance vieille de 2 mois faite par le prétendu développeur de la communauté Tornado Cash, Butterfly Effects, de la proposition de gouvernance précédente 44 et nous estimons donc que depuis le 1er janvier, les notes de dépôt…
– Wu Blockchain (@WuBlockchain) 25 février 2024
Notamment, la vulnérabilité est identifiée dans la version IPFS de Tornado Cash. Alors que Tornado Cash est une solution de confidentialité décentralisée pour les transactions cryptographiques préservant l'anonymat, la version IPFS résiste à la censure et à la surveillance. Ainsi, le code malveillant est devenu un « piège caché » pour l’escroc, car la version permet de le suivre facilement.
Selon Yu Xian, fondateur de SlowMist, le code malveillant présent dans la version IPFS de Tornado Cash permet le détournement de certificats de dépôt. Bien qu'il y ait des indices selon lesquels certains fonds auraient été volés depuis l'approbation de la proposition, on ne sait pas exactement combien d'utilisateurs sont concernés.
La communauté exhorte les utilisateurs à modifier leurs notes en utilisant le déploiement IPFS ContextHash recommandé qui était auparavant utilisé pour tornadocash.eth. En outre, la communauté a demandé aux utilisateurs de voter pour opposer leur veto aux propositions précédemment déployées afin de restreindre tout éventuel exploit malveillant caché dans le contrat de proposition.
L’année dernière, un pirate informatique a volé plus d’un million de dollars grâce à une proposition de gouvernance malveillante. En accordant prétendument 1,2 million de voix à la proposition malveillante, ils ont pris le contrôle du protocole de finance décentralisée (DeFi) de Tornado Cash, conduisant à un détournement de fonds.
L'article Le code malveillant dans la proposition de gouvernance de Tornado Cash pose des risques apparaît en premier sur Coin Edition.