Suche
Mein Konto
Tornado Cash Attacker předkládá návrh na obnovení kontroly nad správou, ZRUŠENO 40 % za 2 dny
Populární kryptografický mixer Tornado Cash ztratil úplnou kontrolu nad svým řízením kvůli útočníkovi, který použil zákeřnou smlouvu k získání tisíců hlasů. Incident poprvé objevil o víkendu @samczsun, výzkumník investiční společnosti Paradigm zaměřené na Web3. Podle Samczsunova tweetu útočník tvrdil, že při vytváření svého škodlivého návrhu použil stejnou logiku jako dříve schválený návrh, aniž by prozradil, že přidal nějakou další funkci. V novějším vývoji však útočník „uvolnil nový vládní návrh na obnovu“ podle příspěvku na komunitním fóru mixéru. …
Tornado Cash Attacker předkládá návrh na obnovení kontroly nad správou, ZRUŠENO 40 % za 2 dny
Populární kryptografický mixer Tornado Cash ztratil úplnou kontrolu nad svým řízením kvůli útočníkovi, který použil zákeřnou smlouvu k získání tisíců hlasů. Incident poprvé objevil o víkendu @samczsun, výzkumník investiční společnosti Paradigm zaměřené na Web3.
Podle Samczsuna tweetovat Útočník tvrdil, že při vytváření svého škodlivého návrhu použil stejnou logiku jako dříve schválený návrh, aniž by prozradil, že přidal další funkce.
V novějším vývoji však útočník „uvolnil nový vládní návrh na obnovu“ podle příspěvku na komunitním fóru mixéru.
Útočník TornadoCash představil nový návrh, který, pokud by byl proveden, by zdánlivě odčinil škody způsobené funkčnosti správy. Buď je to giga-trolling, nebo to skončí jako drahá, ale ne katastrofální lekce v oblasti zabezpečení správy. https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21. května 2023
Útočník se zmocní Tornado Cash Governance
Ihned poté, co voliči Tornado Cash návrh schválili, vykořisťovatel implementoval funkci EmergencyStop a aktualizoval logiku návrhu, aby si udělil 1,2 milionu falešných hlasů. Útočník má více než 700 000 legitimních hlasů, takže získal plnou kontrolu nad správou kryptomixéru.
S úplnou kontrolou si útočník může dělat, co chce, např. Např. zrušit všechny uzamčené hlasy, vysát všechny tokeny ve smlouvě o správě a zablokovat router. Nemohou však vypouštět jednotlivá povodí.
"Na závěr: Co se z toho můžeme naučit? Dávejte si pozor, pro co hlasujete! I když všichni víme, že popis nabídky může lhát, logika nabídky může také lhát! Pokud se spoléháte na to, že ověřený zdrojový kód zůstane stejný, zajistěte, aby smlouva neměla schopnost sebedestrukce," varoval Samczsun.
Bylo odcizeno více než 2,1 milionu $ v TORN tokenech
Podle tweetu od Web3 Media Group, krátce po převzetí smlouvy s Tornado Cash, vykořisťovatel stáhl ze smlouvy o správě 473 000 TORN – nativní token mixeru – v hodnotě více než 2,1 milionu dolarů. @WhaleCoinTalk. Zlomyslný herec prodal aktiva na řetězu a uložil zisky zpět do Tornado.
Tornadosaurus-Hex, aktivní člen komunity Tornado Cash, potvrdil, že útok ohrozil všechny finanční prostředky ve správě a vyzval všechny členy, aby stáhli svá aktiva zajištěná ve smlouvě.
Zatímco Tornadosaurus-Hex tlačí na uživatele, aby vybrali své prostředky, pokusil se také poskytnout smlouvu, která by mohla změny zvrátit.
"Navrhované řešení útoku, které může být životaschopné, je přímo vrátit změny stavu, které útočník provedl ve smlouvě. Proto jsem poskytl smlouvu, která by měla přesně to udělat. Prosím, zkontrolujte ji a navrhněte ji, pokud je to možné. Uvidíme, jestli to dokážeme, jinak jsme v háji, řekl bych," řekl člen komunity.
Poněkud očekávaně se nativní token projektu zhroutil poté, co se tato zpráva objevila. TORN vyskočil 20. května na 7,3 USD, ale v následujících dnech ztratil asi 40 % své hodnoty a nyní je na 4,5 USD.
.