Tornado skaidras naudas uzbrucējs iesniedz priekšlikumu par pārvaldības kontroles atjaunošanu, 2 dienu laikā samazinājies par 40%.

Populārais kriptogrāfijas mikseris Tornado Cash zaudēja pilnīgu kontroli pār savu pārvaldību uzbrucējam, kurš izvietoja ļaunprātīgu līgumu, lai piekļūtu tūkstošiem balsu. Nedēļas nogalē incidentu pirmo reizi atklāja @samczsun, uz web3 orientētas investīciju firmas Paradigm pētnieks.
Saskaņā ar samczsun tvītu, uzbrucējs apgalvoja, ka, veidojot viņu ļaunprātīgo piedāvājumu, izmantojis to pašu loģiku kā iepriekš pieņemtais priekšlikums, neatklājot, ka ir pievienojis papildu funkciju.
Tomēr jaunākā attīstībā uzbrucējs “ielika jaunu priekšlikumu, lai atjaunotu pārvaldības stāvokli”, teikts ierakstā miksera kopienas forumā.
TornadoCash uzbrucējs izvietoja jaunu priekšlikumu, kas, ja tas tiktu izpildīts, šķietami atgrieztu pārvaldības funkcionalitātei nodarīto kaitējumu. Vai nu viņi trollē, vai arī tā būs dārga, bet ne postoša nodarbība pārvaldības drošībā. https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 2023. gada 21. maijā
Uzbrucējs sagrāba Tornado naudas pārvaldību
Tūlīt pēc tam, kad Tornado Cash vēlētāji pieņēma priekšlikumu, izmantotājs ieviesa ārkārtas apturēšanas funkciju un atjaunināja priekšlikuma loģiku, lai piešķirtu sev 1,2 miljonus viltus balsu. Uzbrucēja balsis ir vairāk nekā 700 000 likumīgu balsu, tāpēc viņi ir ieguvuši pilnu kontroli pār kriptogrāfijas miksera pārvaldību.
Pilnībā kontrolējot, uzbrucējs var darīt visu, ko vēlas, piemēram, atsaukt visas bloķētās balsis, iztukšot visus pārvaldības līguma marķierus un bloķēt maršrutētāju. Tomēr tie nevar iztukšot atsevišķus baseinus.
“Visbeidzot, ko mēs varam mācīties no tā? Esiet uzmanīgi, par ko balsojat! Lai gan mēs visi zinām, ka priekšlikumu apraksti var melot, arī priekšlikumu loģika var melot! Ja esat atkarīgi no tā, ka verificētais avota kods paliek nemainīgs, pārliecinieties, vai līgumam nav iespēju pašiznīcināties," brīdināja samčsuns.
Nozagti vairāk nekā 2,1 miljons $ TORN žetoni
Neilgi pēc Tornado Cash līguma stāšanās spēkā ekspluatētājs no pārvaldības līguma izņēma 473 000 TORN — maisītāja sākotnējo žetonu — vairāk nekā 2,1 miljona dolāru vērtībā, teikts Web3 mediju grupas @WhaleCoinTalk tvītā. Sliktais aktieris pārdeva aktīvus ķēdē un noguldīja peļņu atpakaļ Tornado.
Tornado Cash kopienas aktīvs dalībnieks Tornadosaurus-Hex apstiprināja, ka uzbrukums ir apdraudējis visus pārvaldības līdzekļus, un lūdza visus dalībniekus izņemt savus līgumā bloķētos aktīvus.
Mudinot lietotājus iegūt savus līdzekļus, Tornadosaurus-Hex ir arī mēģinājis izvietot līgumu, kas varētu atsaukt izmaiņas.
"Ierosinātais risinājums uzbrukumam, kas, iespējams, varētu būt dzīvotspējīgs, ir tieši uzbrucēja līgumā veikto stāvokļa izmaiņu atjaunošana. Tāpēc es esmu noslēdzis līgumu, ar kuru būtu jāspēj izdarīt tieši to… Lūdzu, pārbaudiet to un, ja iespējams, piedāvājiet. Paskatīsimies, vai mēs varam to pārvarēt, pretējā gadījumā es teiktu, ka mēs esam sasodīti," sacīja kopienas loceklis.
Sagaidāms, ka pēc ziņu parādīšanās projekta sākotnējā marķiera vērtība strauji samazinājās. TORN 20. maijā pieauga līdz USD 7,3, bet nākamajās dienās ir zaudējis aptuveni 40% no savas vērtības un tagad ir USD 4,5.
The post Tornado Cash Attacker iesniedz priekšlikumu par pārvaldības kontroles atjaunošanu, 2 dienu laikā samazinājies par 40% appeared first on CryptoPotato.