• Złośliwy kod JavaScript zidentyfikowany w propozycji zarządzania Tornado Cash stanowi potencjalne zagrożenie.

  • Propozycję przedstawił deweloper społeczności Tornado Cash, Butterfly Effects, dwa miesiące temu.

  • Chociaż luka została zidentyfikowana w wersji IPFS, hakera można łatwo wyśledzić.

W ostatnich raportach zwrócono uwagę na złośliwy kod JavaScript obecny w propozycji zarządzania wprowadzonej od dwóch miesięcy przez twórcę społeczności Tornado Cash, firmę Butterfly Effects. Z ustaleń wynika, że ​​środki zdeponowane od 1 stycznia 2024 r. są zagrożone, co stanowi potencjalny exploit.

Chiński reporter zajmujący się kryptowalutami Colin Wu udostępnił post X na swojej oficjalnej stronie znanej jako Wu Blockchain, w którym przedstawił spostrzeżenia na temat luki zidentyfikowanej w złośliwej propozycji. Z jego postu wynika, że ​​propozycja zarządzania mogła skutkować wyciekiem banknotów depozytowych Tornado Cash na prywatny złośliwy serwer należący od 1 stycznia do rzekomego dewelopera.

Społeczność odkryła, że ​​w propozycji zarządzania sprzed dwóch miesięcy złożonej przez rzekomego twórcę społeczności Tornado Cash Butterfly Effects z poprzedniej propozycji zarządzania 44 ukryto złośliwy kod JavaScript, w związku z czym szacujemy, że od 1 stycznia banknoty depozytowe…

— Wu Blockchain (@WuBlockchain) 25 lutego 2024 r

Warto zauważyć, że luka została zidentyfikowana w wersji Tornado Cash przeznaczonej dla IPFS. Podczas gdy Tornado Cash jest zdecentralizowanym rozwiązaniem zapewniającym prywatność transakcji kryptograficznych, zachowującym anonimowość, wersja IPFS jest odporna na cenzurę i inwigilację. W ten sposób złośliwy kod stał się „ukrytą pułapką” dla oszusta, ponieważ wersja z łatwością go wyśledziła.

Według założyciela SlowMist, Yu Xiana, złośliwy kod w wersji Tornado Cash IPFS umożliwia przejmowanie certyfikatów depozytowych. Chociaż od czasu zatwierdzenia propozycji istnieją przesłanki wskazujące na kradzież niektórych środków, nie jest jasne, ilu użytkowników to dotyczy.

Społeczność namawia użytkowników do zmiany notatek przy użyciu zalecanego wdrożenia IPFS ContextHash, które było wcześniej używane w przypadku tornadocash.eth. Ponadto społeczność poprosiła użytkowników o głosowanie za zawetowaniem wcześniej wdrożonych propozycji, aby ograniczyć wszelkie możliwe złośliwe exploity ukryte w umowie propozycji.

W zeszłym roku haker ukradł ponad 1 milion dolarów poprzez złośliwą propozycję zarządzania. Rzekomo przyznając 1,2 miliona głosów złowrogiej propozycji, przejęli kontrolę nad protokołem zdecentralizowanych finansów (DeFi) Tornado Cash, co doprowadziło do defraudacji funduszy. 

Post Złośliwy kod w propozycji zarządzania Tornado Cash stwarza ryzyko pojawił się jako pierwszy w Coin Edition.