Нападателят на Tornado Cash представя предложение за възстановяване на контрола върху управлението, РАЗКЪСАНО с 40% за 2 дни

Нападателят на Tornado Cash представя предложение за възстановяване на контрола върху управлението, РАЗКЪСАНО с 40% за 2 дни

Популярният крипто миксер Tornado Cash загуби пълния контрол върху управлението си от нападател, който използва злонамерен договор, за да получи хиляди гласове. Инцидентът беше открит за първи път през уикенда от @samczsun, изследовател в ориентираната към Web3 инвестиционна фирма Paradigm.

Според Samczun туит Нападателят твърди, че е използвал същата логика като предишно прието предложение, когато е създавал своето злонамерено предложение, без да разкрива, че е добавил някаква допълнителна функционалност.

Въпреки това, в по-ново развитие, нападателят е „пуснал ново предложение за възстановяване на правителството“, според публикация във форума на общността на миксера.

Атакуващият TornadoCash представи ново предложение, което, ако бъде изпълнено, изглежда ще отмени щетите, нанесени на функционалността на управлението. Или това е гига-тролинг, или ще се окаже скъп, но не пагубен урок по сигурност на управлението.https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21 май 2023 г

Нападателят завзема Tornado Cash Governance

Веднага след като гласоподавателите на Tornado Cash одобриха предложението, експлоататорът внедри функцията EmergencyStop и актуализира логиката на предложението, за да си даде 1,2 милиона фалшиви гласа. Нападателят има повече от 700 000 законни гласа, така че той е придобил пълен контрол върху управлението на крипто миксера.

При пълен контрол нападателят може да прави каквото си поиска, напр. напр. отменете всички заключени гласове, източете всички токени в договора за управление и блокирайте рутера. Те обаче не могат да отводнят отделни басейни.

„В заключение: Какво можем да научим от това? Внимавайте за какво гласувате! Въпреки че всички знаем, че описанията на офертите могат да лъжат, логиката на офертите също може да лъже! Ако разчитате на проверения изходен код, за да остане същият, уверете се, че договорът няма способността да се самоунищожи“, предупреди Samczsun.

Над 2,1 милиона долара в TORN токени са откраднати

Според туит от Web3 Media Group, малко след поемането на договора с Tornado Cash, експлоататорът е изтеглил 473 000 TORN - родния токен на миксера - на стойност повече от $2,1 милиона от договора за управление @WhaleCoinTalk. Злонамереният актьор продаде активите във веригата и депозира печалбите обратно в Tornado.

Tornadosaurus-Hex, активен член на общността Tornado Cash, потвърди, че атаката е компрометирала всички средства в управлението и призова всички членове да изтеглят активите си, обезпечени в договора.

Докато Tornadosaurus-Hex настоява потребителите да изтеглят средствата си, той също се опита да предостави договор, който може да обърне промените.

„Предложено решение на атаката, което може да е жизнеспособно, е директно да се отменят промените в състоянието, които нападателят е направил в договора. Ето защо предоставих договор, който трябва да направи точно това. Моля, прегледайте го и го предложете, ако е възможно. Да видим дали можем да го направим, в противен случай бих казал, че сме прецакани“, каза членът на общността.

Донякъде очаквано родният токен на проекта се срина след появата на новината. TORN скочи до $7,3 на 20 май, но загуби около 40% от стойността си през следващите дни и сега е $4,5.

.