Un codice JavaScript dannoso identificato nella proposta di governance di Tornado Cash rappresenta una potenziale minaccia.
La proposta è stata introdotta dallo sviluppatore della comunità Tornado Cash Butterfly Effects due mesi fa.
Sebbene la vulnerabilità sia identificata nella versione IPFS, l'hacker potrebbe essere facilmente rintracciato.
Rapporti recenti hanno evidenziato un codice Javascript dannoso presente nella proposta di governance di due mesi fa introdotta dallo sviluppatore della comunità Tornado Cash Butterfly Effects. Secondo i risultati, i fondi depositati dal 1° gennaio 2024 sono a rischio, rappresentando un potenziale exploit.
Il reporter cinese di criptovalute Colin Wu ha condiviso un post X sulla sua pagina ufficiale nota come Wu Blockchain, fornendo approfondimenti sulla vulnerabilità identificata nella proposta dannosa. Secondo il suo post, la proposta di governance potrebbe aver comportato la fuga delle note di deposito di Tornado Cash su un server dannoso privato di proprietà del presunto sviluppatore dal 1° gennaio.
La comunità ha scoperto che un codice Javascript dannoso era nascosto nella proposta di governance vecchia di 2 mesi avanzata dal presunto sviluppatore della comunità Tornado Cash, Butterfly Effects, dalla precedente proposta di governance 44 e quindi stimiamo che dal 1° gennaio le note di deposito...
— Wu Blockchain (@WuBlockchain) 25 febbraio 2024
In particolare, la vulnerabilità è identificata nella versione IPFS di Tornado Cash. Sebbene Tornado Cash sia una soluzione di privacy decentralizzata per transazioni crittografiche che mantengono l'anonimato, la versione IPFS è resistente alla censura e alla sorveglianza. Pertanto, il codice dannoso è diventato una “trappola nascosta” per i truffatori, poiché la versione potrebbe facilmente rintracciarli.
Secondo il fondatore di SlowMist Yu Xian, il codice dannoso nella versione IPFS di Tornado Cash consente il dirottamento dei certificati di deposito. Sebbene ci siano indizi di furto di fondi dall'approvazione della proposta, non è chiaro quanti utenti siano interessati.
La comunità esorta gli utenti a modificare le proprie note utilizzando la distribuzione IPFS ContextHash consigliata, precedentemente utilizzata per tornadocash.eth. Inoltre, la comunità ha chiesto agli utenti di votare per porre il veto sulle proposte precedentemente implementate per limitare qualsiasi possibile exploit dannoso nascosto nel contratto della proposta.
L’anno scorso, un hacker ha rubato più di 1 milione di dollari attraverso una proposta di governance dannosa. Presumibilmente concedendo 1,2 milioni di voti alla proposta malevola, hanno acquisito il controllo sul protocollo di finanza decentralizzata (DeFi) di Tornado Cash, portando all'appropriazione indebita di fondi.
Il post Codice dannoso nella proposta di governance di Tornado Cash pone rischi è apparso per la prima volta su Coin Edition.