• Kode javascript berbahaya yang diidentifikasi dalam proposal tata kelola Tornado Cash berpotensi menimbulkan ancaman.

  • Proposal tersebut diperkenalkan oleh pengembang komunitas Tornado Cash Butterfly Effects dua bulan lalu.

  • Meskipun kerentanan teridentifikasi dalam versi IPFS, peretas dapat dengan mudah dilacak.

Laporan terbaru menyoroti kode javascript berbahaya yang ada dalam proposal tata kelola berusia dua bulan yang diperkenalkan oleh pengembang komunitas Tornado Cash, Butterfly Effects. Berdasarkan temuan, dana yang disetorkan sejak 1 Januari 2024 berisiko sehingga berpotensi dieksploitasi.

Reporter kripto Tiongkok Colin Wu membagikan postingan X di halaman resminya yang dikenal sebagai Wu Blockchain, memberikan wawasan tentang kerentanan yang diidentifikasi dalam proposal jahat. Menurut postingannya, proposal tata kelola tersebut mungkin mengakibatkan kebocoran catatan setoran Tornado Cash ke server jahat pribadi milik tersangka pengembang sejak 1 Januari.

Komunitas telah menemukan bahwa kode javascript berbahaya disembunyikan dari proposal tata kelola berusia 2 bulan yang dibuat oleh dugaan pengembang komunitas Tornado Cash Butterfly Effects dari proposal tata kelola sebelumnya 44 dan dengan demikian kami memperkirakan bahwa sejak 1 Januari catatan setoran…

— Wu Blockchain (@WuBlockchain) 25 Februari 2024

Khususnya, kerentanan diidentifikasi dalam Tornado Cash versi IPFS. Meskipun Tornado Cash adalah solusi privasi terdesentralisasi untuk transaksi kripto yang menjaga anonimitas, versi IPFS tahan terhadap sensor dan pengawasan. Oleh karena itu, kode berbahaya tersebut telah menjadi “perangkap tersembunyi” bagi penipu, karena versinya akan dengan mudah melacaknya.

Menurut Pendiri SlowMist Yu Xian, kode berbahaya di Tornado Cash versi IPFS memungkinkan pembajakan sertifikat deposito. Meskipun ada petunjuk bahwa sejumlah dana akan dicuri sejak proposal disetujui, tidak jelas berapa banyak pengguna yang terkena dampaknya.

Komunitas mendesak pengguna untuk mengubah catatan mereka menggunakan penerapan IPFS ContextHash yang direkomendasikan yang sebelumnya digunakan untuk tornadocash.eth. Selain itu, komunitas meminta pengguna untuk memilih memveto proposal yang diajukan sebelumnya untuk membatasi kemungkinan eksploitasi berbahaya yang tersembunyi dalam kontrak proposal.

Tahun lalu, seorang peretas mencuri lebih dari $1 juta melalui proposal tata kelola yang jahat. Diduga memberikan 1,2 juta suara pada proposal jahat tersebut, mereka memperoleh kendali atas protokol keuangan terdesentralisasi (DeFi) Tornado Cash, yang menyebabkan penggelapan dana. 

Pos Kode Berbahaya dalam Proposal Tata Kelola Tornado Cash Menimbulkan Risiko muncul pertama kali di Edisi Koin.