Một mã javascript độc hại được xác định trong đề xuất quản trị của Tornado Cash gây ra mối đe dọa tiềm tàng.
Đề xuất này đã được nhà phát triển cộng đồng Butterfly Effects của Tornado Cash đưa ra hai tháng trước.
Mặc dù lỗ hổng được xác định trong phiên bản IPFS nhưng hacker có thể dễ dàng theo dõi.
Các báo cáo gần đây nêu bật một mã javascript độc hại có trong đề xuất quản trị cách đây hai tháng được giới thiệu bởi nhà phát triển cộng đồng Tornado Cash Butterfly Effects. Theo phát hiện, số tiền gửi kể từ ngày 1 tháng 1 năm 2024 đang gặp rủi ro, tiềm ẩn nguy cơ bị khai thác.
Phóng viên tiền điện tử Trung Quốc Colin Wu đã chia sẻ một bài đăng X trên trang chính thức của anh ấy có tên là Wu Blockchain, cung cấp thông tin chi tiết về lỗ hổng được xác định trong đề xuất độc hại. Theo bài đăng của ông, đề xuất quản trị có thể đã dẫn đến việc rò rỉ các ghi chú gửi tiền của Tornado Cash tới một máy chủ độc hại tư nhân thuộc sở hữu của nhà phát triển bị cáo buộc kể từ ngày 1 tháng 1.
Cộng đồng đã phát hiện ra rằng một mã javascript độc hại đã bị ẩn khỏi đề xuất quản trị cách đây 2 tháng do nhà phát triển cộng đồng Tornado Cash bị cáo buộc là Butterfly Effects đưa ra khỏi đề xuất quản trị 44 trước đó và do đó chúng tôi ước tính rằng kể từ ngày 1 tháng 1, các ghi chú gửi tiền…
— Wu Blockchain (@WuBlockchain) Ngày 25 tháng 2 năm 2024
Đáng chú ý, lỗ hổng được xác định trong phiên bản IPFS của Tornado Cash. Trong khi Tornado Cash là một giải pháp bảo mật phi tập trung cho các giao dịch tiền điện tử duy trì tính ẩn danh thì phiên bản IPFS có khả năng chống lại sự kiểm duyệt và giám sát. Như vậy, mã độc đã trở thành một “cái bẫy ẩn” cho kẻ lừa đảo vì phiên bản này sẽ dễ dàng theo dõi chúng.
Theo Người sáng lập SlowMist Yu Xian, mã độc trong phiên bản IPFS của Tornado Cash cho phép chiếm đoạt chứng chỉ tiền gửi. Mặc dù có dấu hiệu cho thấy một số khoản tiền sẽ bị đánh cắp kể từ khi đề xuất được phê duyệt nhưng vẫn chưa rõ có bao nhiêu người dùng bị ảnh hưởng.
Cộng đồng kêu gọi người dùng thay đổi ghi chú của họ bằng cách sử dụng triển khai IPFS ContextHash được đề xuất trước đây được sử dụng cho Tornadocash.eth. Ngoài ra, cộng đồng đã yêu cầu người dùng bỏ phiếu phủ quyết các đề xuất đã triển khai trước đó nhằm hạn chế mọi hoạt động khai thác độc hại có thể ẩn trong hợp đồng đề xuất.
Năm ngoái, một hacker đã đánh cắp hơn 1 triệu USD thông qua một đề xuất quản trị độc hại. Bị cáo buộc đã cấp 1,2 triệu phiếu bầu cho đề xuất ác ý, họ đã giành được quyền kiểm soát giao thức tài chính phi tập trung (DeFi) của Tornado Cash, dẫn đến việc tham ô tiền.
Bài viết Mã độc hại trong Đề xuất quản trị của Tornado Cash đặt ra rủi ro xuất hiện đầu tiên trên Coin Edition.