Tornado Cash のガバナンス提案に含まれる悪意のあるコードがリスクをもたらす

• Tornado Cash のガバナンス提案で特定された悪意のある JavaScript コードが潜在的な脅威となります。

• この提案は、Tornado Cash コミュニティ開発者の Butterfly Effects によって 2 か月前に導入されました。

• IPFS バージョンで脆弱性が特定されている間、ハッカーは簡単に追跡される可能性があります。

最近の報告では、Tornado Cash コミュニティ開発者 Butterfly Effects が 2 か月前に導入したガバナンス提案に悪意のある JavaScript コードが含まれていることが指摘されています。調査結果によると、2024 年 1 月 1 日以降に預けられた資金は危険にさらされており、悪用される可能性があります。

中国の仮想通貨記者コリン・ウー氏は、ウー・ブロックチェーンという自身の公式ページでXポストをシェアし、悪意ある提案で特定された脆弱性についての洞察を提供した。同氏の投稿によると、ガバナンス提案の結果、1月1日以降、トルネード・キャッシュの預託金が、開発者とされる人物が所有する悪意あるプライベートサーバーに漏洩した可能性があるという。

コミュニティは、Tornado Cash コミュニティ開発者とされる Butterfly Effects が 2 か月前に作成したガバナンス提案に、以前のガバナンス提案 44 から悪意のある JavaScript コードが隠されていることを発見しました。そのため、1 月 1 日以降、デポジット ノートには…

— ウー・ブロックチェーン (@WuBlockchain) 2024年2月25日

注目すべきは、この脆弱性が Tornado Cash の IPFS バージョンで特定されたことです。Tornado Cash は匿名性を維持する暗号トランザクション用の分散型プライバシー ソリューションですが、IPFS バージョンは検閲や監視に耐性があります。そのため、このバージョンは簡単に追跡できるため、悪意のあるコードは詐欺師にとって「隠れた罠」となっています。

SlowMistの創設者Yu Xian氏によると、Tornado CashのIPFSバージョンに含まれる悪意のあるコードにより、預金証明書の乗っ取りが可能になるという。提案が承認されて以来、いくらかの資金が盗まれるという兆候はあるものの、影響を受けるユーザーの数は不明だ。

コミュニティは、以前 tornadocash.eth で使用されていた推奨 IPFS ContextHash デプロイメントを使用してノートを変更するようユーザーに促しています。さらに、コミュニティは、提案契約に隠された悪意のあるエクスプロイトの可能性を制限するために、以前にデプロイされた提案を拒否する投票をユーザーに求めました。

昨年、ハッカーが悪意のあるガバナンス提案を通じて100万ドル以上を盗んだ。ハッカーは悪意のある提案に120万票を付与し、トルネードキャッシュの分散型金融（DeFi）プロトコルの制御権を獲得し、資金を横領したとされている。

Tornado Cash のガバナンス提案に含まれる悪意のあるコードがリスクをもたらすという記事が Coin Edition に最初に掲載されました。