Atacatorul Tornado Cash Trimite o propunere de revenire a controlului guvernanței, doborâtă cu 40% în 2 zile

Popularul mixer criptografic Tornado Cash a pierdut controlul total asupra guvernării în fața unui atacator care a implementat un contract rău intenționat pentru a accesa mii de voturi. Incidentul a fost detectat pentru prima dată de @samczsun, un cercetător la firma de investiții Paradigm, axată pe web3, în weekend.
Potrivit tweet-ului lui samczsun, atacatorul a susținut că a folosit aceeași logică ca și o propunere adoptată mai devreme pentru a crea propunerea lor rău intenționată, fără a dezvălui că a adăugat o funcție suplimentară.
Într-o dezvoltare mai recentă, însă, atacatorul „a postat o nouă propunere de restabilire a stării de guvernare”, potrivit unei postări pe forumul comunității mixerului.
Atacatorul TornadoCash a desfășurat o nouă propunere care, dacă ar fi executată, se pare că ar reveni daunele aduse funcționalității de guvernare. Fie sunt giga trolling, fie va sfârși prin a fi o lecție costisitoare, dar nu dezastruoasă, în securitatea guvernării.https://t.co/QMWYFsi8kP.
— 0xdeadf4ce (@0xdface) 21 mai 2023
Atacatorul confiscă guvernarea banilor Tornado
Imediat după ce alegătorii Tornado Cash au adoptat propunerea, exploatatorul a implementat funcția emergencyStop și a actualizat logica propunerii pentru a-și acorda 1,2 milioane de voturi false. Voturile atacatorului sunt de peste 700.000 de voturi legitime, așa că au câștigat controlul deplin asupra guvernării mixerului criptografic.
Cu control complet, atacatorul poate face orice dorește, cum ar fi retragerea tuturor voturilor blocate, scurgerea tuturor jetoanelor din contractul de guvernare și blocarea ruterului. Cu toate acestea, nu pot drena piscinele individuale.
„În sfârșit, ce putem învăța din asta? Ai grijă ce votezi! Deși știm cu toții că descrierile propunerilor pot minți, logica propunerii poate minți și! Dacă depindeți de codul sursă verificat pentru a rămâne același, asigurați-vă că contractul nu are capacitatea de a se autodistruge”, a avertizat samczsun.
Peste 2,1 milioane USD de jetoane TORN furate
La scurt timp după ce a preluat contractul lui Tornado Cash, exploatatorul a drenat 473.000 TORN – simbolul nativ al mixerului – în valoare de peste 2,1 milioane de dolari din contractul de guvernare, potrivit unui tweet al grupului media Web3 @WhaleCoinTalk. Actorul rău a vândut activele în lanț și a depus profiturile înapoi în Tornado.
Tornadosaurus-Hex, un membru activ al comunității Tornado Cash, a confirmat că atacul a compromis toate fondurile în guvernare și a cerut tuturor membrilor să-și retragă activele blocate în contract.
În timp ce îndeamnă utilizatorii să-și extragă fondurile, Tornadosaurus-Hex a încercat, de asemenea, să implementeze un contract care ar putea anula modificările.
„O soluție propusă pentru atac, care ar putea fi viabilă, este revenirea directă a modificărilor de stare pe care atacatorul le-a făcut în contract. Ca atare, am implementat un contract care ar trebui să poată face exact acest lucru... Vă rugăm să verificați-l și, dacă este posibil, să propuneți. Să vedem dacă reușim să trecem, altfel suntem dracuți aș ​​spune”, a spus membrul comunității.
Cumva de așteptat, simbolul nativ al proiectului a scăzut după ce a apărut știrea. TORN a sărit la 7,3 USD pe 20 mai, dar a pierdut aproximativ 40% din valoarea sa în zilele următoare și acum se află la 4,5 USD.
Postarea Tornado Cash Attacker trimite o propunere pentru a reveni la controlul guvernanței, ruptă cu 40% în 2 zile a apărut mai întâi pe CryptoPotato.