Un cod javascript rău intenționat identificat în propunerea de guvernare a lui Tornado Cash reprezintă o potențială amenințare.
Propunerea a fost introdusă de dezvoltatorul comunității Tornado Cash Butterfly Effects în urmă cu două luni.
În timp ce vulnerabilitatea este identificată în versiunea IPFS, hackerul ar putea fi urmărit cu ușurință.
Rapoartele recente au evidențiat un cod javascript rău intenționat prezent în propunerea de guvernare veche de două luni introdusă de dezvoltatorul comunității Tornado Cash Butterfly Effects. Conform constatărilor, fondurile depuse de la 1 ianuarie 2024 sunt în pericol, reprezentând o potențială exploatare.
Criptoreporterul chinez Colin Wu a distribuit o postare X pe pagina sa oficială cunoscută sub numele de Wu Blockchain, oferind informații despre vulnerabilitatea identificată în propunerea rău intenționată. Potrivit postării sale, propunerea de guvernare ar fi putut duce la scurgerea notelor de depozit ale Tornado Cash către un server rău intenționat deținut de presupusul dezvoltator începând cu 1 ianuarie.
Comunitatea a constatat că un cod javascript rău intenționat a fost ascuns din propunerea de guvernare veche de 2 luni făcută de presupusul dezvoltator al comunității Tornado Cash Butterfly Effects din propunerea anterioară de guvernare 44 și astfel estimăm că de la 1 ianuarie notele de depozit...
— Wu Blockchain (@WuBlockchain) 25 februarie 2024
În special, vulnerabilitatea este identificată în versiunea IPFS a Tornado Cash. În timp ce Tornado Cash este o soluție de confidențialitate descentralizată pentru tranzacțiile cripto care păstrează anonimatul, versiunea IPFS este rezistentă la cenzură și supraveghere. Astfel, codul rău intenționat a devenit o „capcană ascunsă” pentru escroc, deoarece versiunea le-ar urmări cu ușurință.
Potrivit fondatorului SlowMist Yu Xian, codul rău intenționat din versiunea IPFS a Tornado Cash permite deturnarea certificatelor de depozit. Deși există indicii că unele fonduri vor fi furate de la aprobarea propunerii, nu este clar câți utilizatori sunt afectați.
Comunitatea îndeamnă utilizatorii să-și schimbe notele folosind implementarea recomandată de IPFS ContextHash, care a fost folosită anterior pentru tornadocash.eth. În plus, comunitatea le-a cerut utilizatorilor să voteze pentru a se opune propunerilor implementate anterior pentru a restricționa orice posibilă exploatare rău intenționată ascunsă în contractul de propunere.
Anul trecut, un hacker a furat peste 1 milion de dolari printr-o propunere de guvernare rău intenționată. Se presupune că acordând 1,2 milioane de voturi propunerii răuvoitoare, aceștia au câștigat controlul asupra protocolului de finanțare descentralizată (DeFi) al Tornado Cash, ceea ce a dus la deturnarea de fonduri.
Postarea Cod rău intenționat din propunerea de guvernare a lui Tornado Cash prezintă riscuri a apărut prima dată pe Coin Edition.