Suche
Mein Konto
Tornado sularaharündaja esitas ettepaneku taastada valitsemiskontroll, mis on kahe päevaga 40% vähenenud
Populaarne krüptosegisti Tornado Cash kaotas täieliku kontrolli oma juhtimise üle ründajale, kes kasutas pahatahtlikku lepingut tuhandete häälte saamiseks. Juhtumi avastas nädalavahetusel esmakordselt Web3-le keskendunud investeerimisfirma Paradigm teadur @samczsun. Samczsuni säutsu kohaselt väitis ründaja, et kasutas oma pahatahtliku ettepaneku loomisel sama loogikat nagu varem läbitud ettepanek, ilma et ta oleks lisanud lisafunktsioone. Kuid hiljutise arengu käigus on ründaja "väljastanud uue valitsuse taastamise ettepaneku", vastavalt mikseri kogukonna foorumi postitusele. …
Tornado sularaharündaja esitas ettepaneku taastada valitsemiskontroll, mis on kahe päevaga 40% vähenenud
Populaarne krüptosegisti Tornado Cash kaotas täieliku kontrolli oma juhtimise üle ründajale, kes kasutas pahatahtlikku lepingut tuhandete häälte saamiseks. Juhtumi avastas nädalavahetusel esmakordselt Web3-le keskendunud investeerimisfirma Paradigm teadur @samczsun.
Samczsuni sõnul säutsuma Ründaja väitis, et kasutas oma pahatahtliku ettepaneku loomisel sama loogikat nagu varem läbitud ettepanek, kuid ei avaldanud, et oli lisanud mingeid lisafunktsioone.
Kuid hiljutise arengu käigus on ründaja "väljastanud uue valitsuse taastamise ettepaneku", vastavalt mikseri kogukonna foorumi postitusele.
TornadoCashi ründaja tutvustas uut ettepanekut, mis täitmise korral tühistaks näiliselt haldusfunktsioonidele tekitatud kahju. Kas see on suur trollimine või on see kallis, kuid mitte katastroofiline õppetund juhtimisturvalisusest.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21. mai 2023
Ründaja hõivab Tornado sularahahalduse
Kohe pärast seda, kui Tornado Cashi hääletajad ettepaneku heaks kiitsid, rakendas ärakasutaja funktsiooni EmergencyStop ja värskendas ettepaneku loogikat, et anda endale 1,2 miljonit võltshäält. Ründajal on üle 700 000 legitiimse hääle, seega on ta saavutanud täieliku kontrolli krüptomikseri juhtimise üle.
Täieliku kontrolli korral võib ründaja teha mida iganes, nt. Nt. tühistage kõik lukustatud hääled, tühjendage kõik juhtimislepingus olevad märgid ja blokeerige ruuter. Siiski ei saa nad üksikuid basseine tühjendada.
"Kokkuvõtteks: mida me saame sellest õppida? Olge ettevaatlik, mille poolt hääletate! Kuigi me kõik teame, et pakkumiste kirjeldused võivad valetada, võib ka pakkumise loogika valetada! Kui tuginete kontrollitud lähtekoodile, et see jääb samaks, veenduge, et lepingul poleks enesehävitamise võimalust," hoiatas Samczsun.
Varastati üle 2,1 miljoni dollari väärtuses TORN-märke
Web3 Media Groupi säutsu kohaselt võttis ärakasutaja vahetult pärast Tornado Cashiga lepingu ülevõtmist halduslepingust välja 473 000 TORNi – mikseri algse märgi – väärtusega üle 2,1 miljoni dollari. @WhaleCoinTalk. Pahatahtlik näitleja müüs varad ketis ja pani kasumi tagasi Tornadosse.
Tornado Cashi kogukonna aktiivne liige Tornadosaurus-Hex kinnitas, et rünnak ohustas kõiki valitsemisvahendeid ja kutsus kõiki liikmeid üles lepinguga tagatud varad välja võtma.
Kuigi Tornadosaurus-Hex sunnib kasutajaid oma raha välja võtma, on ta püüdnud ka sõlmida lepingut, mis võiks muudatused tagasi pöörata.
"Pakutud lahendus rünnakule, mis võib olla elujõuline, on otse tühistada ründaja poolt lepingusse tehtud olekumuudatused. Seetõttu olen esitanud lepingu, mis peaks täpselt seda tegema. Palun vaadake see üle ja võimalusel soovitage. Vaatame, kas saame hakkama, muidu oleme perses, ma ütleks," ütles kogukonna liige.
Mõnevõrra ootuspäraselt kukkus pärast uudise ilmumist projekti algne märk kokku. TORN hüppas 20. mail 7,3 dollarile, kuid kaotas järgnevatel päevadel umbes 40% väärtusest ja on nüüd 4,5 dollaril.
.