Вредоносный код JavaScript, указанный в предложении по управлению Tornado Cash, представляет собой потенциальную угрозу.
Предложение было представлено разработчиком сообщества Tornado Cash Butterfly Effects два месяца назад.
Хотя уязвимость обнаружена в версии IPFS, хакера можно легко отследить.
Недавние отчеты выявили вредоносный код JavaScript, присутствующий в предложении по управлению двухмесячной давности, представленном разработчиком сообщества Tornado Cash Butterfly Effects. Согласно выводам, средства, депонированные с 1 января 2024 года, находятся под угрозой и представляют собой потенциальную угрозу для эксплойта.
Китайский крипторепортер Колин Ву поделился публикацией X на своей официальной странице, известной как Wu Blockchain, предоставив информацию об уязвимости, выявленной в вредоносном предложении. Согласно его сообщению, предложение по управлению могло привести к утечке депозитных векселей Tornado Cash на частный вредоносный сервер, принадлежащий предполагаемому разработчику с 1 января.
Сообщество обнаружило, что вредоносный код Javascript был скрыт в предложении по управлению двухмесячной давности, сделанном предполагаемым разработчиком сообщества Tornado Cash Butterfly Effects из предыдущего предложения по управлению 44, и, таким образом, по нашим оценкам, с 1 января депозитные примечания…
– Ву Блокчейн (@WuBlockchain) 25 февраля 2024 г.
Примечательно, что уязвимость обнаружена в IPFS-версии Tornado Cash. Хотя Tornado Cash — это децентрализованное решение для обеспечения конфиденциальности криптотранзакций, сохраняющее анонимность, версия IPFS устойчива к цензуре и наблюдению. Таким образом, вредоносный код стал «скрытой ловушкой» для мошенников, поскольку версия легко их отследит.
По словам основателя SlowMist Ю Сяня, вредоносный код IPFS-версии Tornado Cash позволяет перехватывать депозитные сертификаты. Хотя есть намеки на то, что некоторые средства могут быть украдены после одобрения предложения, неясно, сколько пользователей пострадало.
Сообщество призывает пользователей изменить свои заметки, используя рекомендуемое развертывание IPFS ContextHash, которое ранее использовалось для Tornadocash.eth. Кроме того, сообщество попросило пользователей проголосовать за наложение вето на ранее развернутые предложения по ограничению любых возможных вредоносных эксплойтов, скрытых в контракте предложения.
В прошлом году хакер украл более 1 миллиона долларов с помощью злонамеренного предложения по управлению. Предположительно предоставив 1,2 миллиона голосов за злонамеренное предложение, они получили контроль над протоколом децентрализованного финансирования (DeFi) Tornado Cash, что привело к хищению средств.
Сообщение «Вредоносный код в предложении по управлению Tornado Cash представляет риски» впервые появилось на Coin Edition.