• Um código javascript malicioso identificado na proposta de governança do Tornado Cash representa uma ameaça potencial.

  • A proposta foi apresentada pela desenvolvedora da comunidade Tornado Cash, Butterfly Effects, há dois meses.

  • Embora a vulnerabilidade seja identificada na versão IPFS, o hacker pode ser facilmente rastreado.

Relatórios recentes destacaram um código javascript malicioso presente na proposta de governança de dois meses introduzida pelo desenvolvedor da comunidade Tornado Cash, Butterfly Effects. De acordo com as descobertas, os fundos depositados desde 1º de janeiro de 2024 estão em risco, representando uma potencial exploração.

O repórter chinês de criptomoedas Colin Wu compartilhou um post X em sua página oficial conhecida como Wu Blockchain, fornecendo insights sobre a vulnerabilidade identificada na proposta maliciosa. De acordo com seu post, a proposta de governança pode ter resultado no vazamento das notas de depósito do Tornado Cash para um servidor malicioso privado de propriedade do suposto desenvolvedor desde 1º de janeiro.

A comunidade descobriu que um código javascript malicioso estava oculto na proposta de governança de 2 meses feita pelo suposto desenvolvedor da comunidade Tornado Cash, Butterfly Effects, da proposta de governança anterior 44 e, portanto, estimamos que desde 1º de janeiro as notas de depósito…

— Wu Blockchain (@WuBlockchain) 25 de fevereiro de 2024

Notavelmente, a vulnerabilidade é identificada na versão IPFS do Tornado Cash. Enquanto o Tornado Cash é uma solução de privacidade descentralizada para transações criptográficas mantendo o anonimato, a versão IPFS é resistente à censura e vigilância. Assim, o código malicioso se tornou uma “armadilha oculta” para o golpista, pois a versão os rastrearia facilmente.

De acordo com o fundador da SlowMist, Yu Xian, o código malicioso na versão IPFS do Tornado Cash permite o sequestro de certificados de depósito. Embora haja indícios de que alguns fundos foram roubados desde a aprovação da proposta, não está claro quantos usuários são afetados.

A comunidade pede que os usuários alterem suas notas usando a implantação recomendada do IPFS ContextHash que foi usada anteriormente para tornadocash.eth. Além disso, a comunidade pediu que os usuários votassem para vetar as propostas implantadas anteriormente para restringir qualquer possível exploração maliciosa oculta no contrato da proposta.

No ano passado, um hacker roubou mais de US$ 1 milhão por meio de uma proposta maliciosa de governança. Supostamente concedendo 1,2 milhão de votos à proposta malévola, eles ganharam controle sobre o protocolo de finanças descentralizadas (DeFi) do Tornado Cash, levando ao desvio de fundos.

A postagem Código malicioso na proposta de governança do Tornado Cash apresenta riscos apareceu primeiro em Coin Edition.