• Ļaunprātīgs JavaScript kods, kas identificēts Tornado Cash pārvaldības priekšlikumā, rada potenciālus draudus.

  • Šo priekšlikumu pirms diviem mēnešiem ieviesa Tornado Cash kopienas izstrādātājs Butterfly Effects.

  • Lai gan ievainojamība ir identificēta IPFS versijā, hakeris var viegli izsekot.

Nesenie ziņojumi iezīmēja ļaunprātīgu JavaScript kodu, kas atrodas divus mēnešus vecajā pārvaldības priekšlikumā, ko ieviesa Tornado Cash kopienas izstrādātājs Butterfly Effects. Saskaņā ar konstatējumiem kopš 2024. gada 1. janvāra noguldītie līdzekļi ir apdraudēti, radot potenciālu izmantošanu.

Ķīniešu šifrēšanas reportieris Kolins Vu savā oficiālajā lapā, kas pazīstams kā Wu Blockchain, kopīgoja X ziņu, sniedzot ieskatu par ļaunprātīgajā priekšlikumā konstatēto ievainojamību. Saskaņā ar viņa ziņu, pārvaldības priekšlikums varētu būt izraisījis Tornado Cash depozīta banknošu noplūdi uz privātu ļaunprātīgu serveri, kas kopš 1. janvāra pieder iespējamajam izstrādātājam.

Kopiena ir konstatējusi, ka ļaunprātīgs JavaScript kods tika paslēpts divus mēnešus vecajā pārvaldības priekšlikumā, ko, iespējams, Tornado Cash kopienas izstrādātājs Butterfly Effects iesniedza iepriekšējā pārvaldības priekšlikumā 44, un tāpēc mēs lēšam, ka kopš 1. janvāra depozīta piezīmes…

— Wu Blockchain (@WuBlockchain) 2024. gada 25. februāris

Proti, ievainojamība ir identificēta Tornado Cash IPFS versijā. Lai gan Tornado Cash ir decentralizēts privātuma risinājums kriptogrāfijas darījumiem, kas saglabā anonimitāti, IPFS versija ir izturīga pret cenzūru un uzraudzību. Tādējādi ļaunprātīgais kods ir kļuvis par krāpnieku “slēpto slazdu”, jo versija viņus viegli izsekotu.

Saskaņā ar SlowMist dibinātāja Yu Xian teikto, Tornado Cash IPFS versijas ļaunprātīgais kods ļauj nolaupīt noguldījumu sertifikātus. Lai gan kopš priekšlikuma apstiprināšanas ir sniegti norādījumi par dažu līdzekļu nozagšanu, nav skaidrs, cik lietotāju tas skars.

Kopiena mudina lietotājus mainīt savas piezīmes, izmantojot ieteicamo IPFS ContextHash izvietošanu, kas iepriekš tika izmantota vietnei tornadocash.eth. Turklāt kopiena lūdza lietotājus balsot, lai uzliktu veto iepriekš izvietotajiem priekšlikumiem, lai ierobežotu jebkādu iespējamu ļaunprātīgu izmantošanu, kas paslēpta priekšlikuma līgumā.

Pagājušajā gadā hakeris, izmantojot ļaunprātīgu pārvaldības priekšlikumu, nozaga vairāk nekā 1 miljonu ASV dolāru. Piešķirot 1,2 miljonus balsu par ļaunprātīgo priekšlikumu, viņi ieguva kontroli pār Tornado Cash decentralizētās finanšu (DeFi) protokolu, kā rezultātā tika izkrāpti līdzekļi. 

Ziņa Ļaunprātīgais kods Tornado Cash pārvaldības priekšlikumā rada riskus pirms parādījās Monētu izdevumā.