Suche
Mein Konto
Tornado Cash-angriber indsender forslag om at genoprette styringskontrol, TORN ned 40 % på 2 dage
Den populære kryptomixer Tornado Cash mistede fuldstændig kontrol over sin styring til en angriber, der brugte en ondsindet kontrakt til at opnå tusindvis af stemmer. Hændelsen blev først opdaget i weekenden af @samczsun, en forsker hos det Web3-fokuserede investeringsfirma Paradigm. Ifølge Samczsun tweet hævdede angriberen at have brugt den samme logik som et tidligere vedtaget forslag, da han oprettede sit ondsindede forslag, uden at afsløre, at han havde tilføjet nogen yderligere funktion. I en nyere udvikling har angriberen dog "frigivet et nyt forslag til regeringsrestaurering," ifølge et indlæg på mixerens community-forum. …
Tornado Cash-angriber indsender forslag om at genoprette styringskontrol, TORN ned 40 % på 2 dage
Den populære kryptomixer Tornado Cash mistede fuldstændig kontrol over sin styring til en angriber, der brugte en ondsindet kontrakt til at opnå tusindvis af stemmer. Hændelsen blev først opdaget i weekenden af @samczsun, en forsker hos det Web3-fokuserede investeringsfirma Paradigm.
Ifølge Samczsun tweet Angriberen hævdede at have brugt den samme logik som et tidligere godkendt forslag, da han oprettede sit ondsindede forslag, uden at afsløre, at han havde tilføjet nogen yderligere funktionalitet.
I en nyere udvikling har angriberen dog "frigivet et nyt forslag til regeringsrestaurering," ifølge et indlæg på mixerens community-forum.
TornadoCash-angriberen introducerede et nyt forslag, der, hvis det blev udført, tilsyneladende ville fortryde skaden på styringsfunktionaliteten. Enten er dette giga-trolling, eller også vil det ende med at blive en dyr, men ikke katastrofal lektion i styringssikkerhed.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21. maj 2023
Angriberen griber Tornado Cash Governance
Umiddelbart efter Tornado Cash-vælgere havde godkendt forslaget, implementerede udnytteren EmergencyStop-funktionen og opdaterede forslagslogikken til at give sig selv 1,2 millioner falske stemmer. Angriberen har mere end 700.000 legitime stemmer, så han har fået fuld kontrol over styringen af kryptomixeren.
Med fuld kontrol kan angriberen gøre, hvad han vil, f.eks. F.eks. tilbagekald alle låste stemmer, dræn alle tokens i styringskontrakten og bloker routeren. De kan dog ikke dræne enkelte bassiner.
"Afslutningsvis: Hvad kan vi lære af dette? Vær forsigtig med, hvad du stemmer på! Selvom vi alle ved, at tilbudsbeskrivelser kan lyve, kan tilbudslogik også lyve! Hvis du stoler på, at den verificerede kildekode forbliver den samme, skal du sikre dig, at kontrakten ikke har evnen til at selvdestruere," advarede Samczsun.
Over $2,1 millioner i TORN-tokens stjålet
Ifølge et tweet fra Web3 Media Group trak udnytteren kort efter overtagelsen af kontrakten med Tornado Cash 473.000 TORN - mixerens oprindelige token - til en værdi af mere end 2,1 millioner dollars fra regeringskontrakten @WhaleCoinTalk. Den ondsindede skuespiller solgte aktiverne på kæden og deponerede overskuddet tilbage i Tornado.
Tornadosaurus-Hex, et aktivt medlem af Tornado Cash-samfundet, bekræftede, at angrebet havde kompromitteret alle midler i regeringsførelse og opfordrede alle medlemmer til at trække deres aktiver tilbage, som var sikret i kontrakten.
Mens Tornadosaurus-Hex presser brugerne til at trække deres penge tilbage, har den også forsøgt at levere en kontrakt, der kunne vende ændringerne.
"En foreslået løsning på angrebet, som kan være levedygtig, er direkte at fortryde de tilstandsændringer, som angriberen lavede i kontrakten. Det er derfor, jeg har leveret en kontrakt, der skulle gøre præcis det. Gennemgå den venligst og foreslå det, hvis det er muligt. Lad os se, om vi kan gøre det, ellers er vi skruet sammen, vil jeg sige," sagde fællesskabsmedlemmet.
Lidt forventet styrtede projektets oprindelige token ned, efter at nyheden dukkede op. TORN sprang til $7,3 den 20. maj, men mistede omkring 40% af sin værdi i de følgende dage og er nu på $4,5.
.