Suche
Mein Konto
مهاجم Tornado Cash يقدم اقتراحًا لاستعادة السيطرة على الحوكمة، وتم تدميره بنسبة 40% في يومين
فقد خلاط العملات المشفرة الشهير Tornado Cash السيطرة الكاملة على حوكمته أمام مهاجم استخدم عقدًا خبيثًا للحصول على آلاف الأصوات. تم اكتشاف الحادث لأول مرة خلال عطلة نهاية الأسبوع بواسطة @samczsun، وهو باحث في شركة Paradigm الاستثمارية التي تركز على Web3. ووفقًا لتغريدة Samczsun، ادعى المهاجم أنه استخدم نفس المنطق الذي تم تمريره مسبقًا عند إنشاء اقتراحه الضار، دون الكشف عن أنه أضاف أي ميزة إضافية. ومع ذلك، في تطور أحدث، أصدر المهاجم "مقترحًا جديدًا لاستعادة الحكومة"، وفقًا لما ورد في منتدى مجتمع الخلاط. …
مهاجم Tornado Cash يقدم اقتراحًا لاستعادة السيطرة على الحوكمة، وتم تدميره بنسبة 40% في يومين
فقد خلاط العملات المشفرة الشهير Tornado Cash السيطرة الكاملة على حوكمته أمام مهاجم استخدم عقدًا خبيثًا للحصول على آلاف الأصوات. تم اكتشاف الحادث لأول مرة خلال عطلة نهاية الأسبوع بواسطة @samczsun، وهو باحث في شركة Paradigm الاستثمارية التي تركز على Web3.
بحسب سامكسسون سقسقة وادعى المهاجم أنه استخدم نفس المنطق الذي استخدمه في الاقتراح الذي تم تمريره مسبقًا عند إنشاء اقتراحه الضار، دون الكشف عن أنه أضاف أي وظائف إضافية.
ومع ذلك، في تطور أحدث، أصدر المهاجم "مقترحًا جديدًا لاستعادة الحكومة"، وفقًا لما ورد في منتدى مجتمع الخلاط.
قدم مهاجم TornadoCash اقتراحًا جديدًا، إذا تم تنفيذه، فمن شأنه أن يؤدي إلى إصلاح الضرر الذي لحق بوظيفة الحوكمة. إما أن يكون هذا بمثابة تصيد جيجا، أو سينتهي به الأمر إلى أن يكون درسًا مكلفًا ولكنه ليس كارثيًا في أمن الحوكمة.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21 مايو 2023
المهاجم يستولي على إدارة Tornado Cash
مباشرة بعد موافقة ناخبي Tornado Cash على الاقتراح، قام المستغل بتطبيق ميزة EmergencyStop وقام بتحديث منطق الاقتراح لمنح نفسه 1.2 مليون صوت مزيف. يمتلك المهاجم أكثر من 700000 صوت شرعي، لذلك فقد اكتسب السيطرة الكاملة على إدارة خلاط العملات المشفرة.
مع السيطرة الكاملة، يمكن للمهاجم أن يفعل ما يريد، على سبيل المثال. على سبيل المثال إلغاء جميع الأصوات المقفلة، واستنزاف جميع الرموز المميزة في عقد الحوكمة، وحظر جهاز التوجيه. ومع ذلك، لا يمكنهم تصريف الأحواض الفردية.
"في الختام: ماذا يمكننا أن نتعلم من هذا؟ كن حذرًا بشأن ما تصوت له! بينما نعلم جميعًا أن أوصاف العرض يمكن أن تكذب، فإن منطق العرض يمكن أن يكذب أيضًا! إذا كنت تعتمد على كود المصدر الذي تم التحقق منه ليظل كما هو، فتأكد من أن العقد ليس لديه القدرة على التدمير الذاتي،" حذر Samczsun.
تمت سرقة أكثر من 2.1 مليون دولار من رموز TORN
وفقًا لتغريدة من Web3 Media Group، بعد فترة وجيزة من تولي العقد مع Tornado Cash، سحب المستغل 473000 TORN - الرمز الأصلي للخلاط - بقيمة تزيد عن 2.1 مليون دولار من عقد الحوكمة @WhaleCoinTalk. باع الممثل الخبيث الأصول الموجودة على السلسلة وأودع الأرباح مرة أخرى في تورنادو.
أكد Tornadosaurus-Hex، وهو عضو نشط في مجتمع Tornado Cash، أن الهجوم قد أضر بجميع الأموال في الإدارة ودعا جميع الأعضاء إلى سحب أصولهم المضمونة في العقد.
بينما يدفع Tornadosaurus-Hex المستخدمين لسحب أموالهم، فقد حاول أيضًا تقديم عقد يمكن أن يعكس التغييرات.
قال أحد أعضاء المجتمع: "الحل المقترح للهجوم والذي قد يكون قابلاً للتطبيق هو التراجع مباشرةً عن تغييرات الحالة التي أجراها المهاجم على العقد. ولهذا السبب قدمت عقدًا يجب أن يفعل ذلك بالضبط. يرجى مراجعته واقتراحه إذا كان ذلك ممكنًا. دعونا نرى ما إذا كان بإمكاننا القيام بذلك، وإلا فإننا سنفشل، على ما أعتقد".
كما كان متوقعًا إلى حد ما، تعطل الرمز الأصلي للمشروع بعد ظهور الأخبار. قفزت عملة TORN إلى 7.3 دولار في 20 مايو، لكنها فقدت حوالي 40% من قيمتها في الأيام التالية وهي الآن عند 4.5 دولار.
.