Tornado Cash Attacker soumet une proposition pour restaurer le contrôle de la gouvernance, détruit de 40 % en 2 jours

Tornado Cash Attacker soumet une proposition pour restaurer le contrôle de la gouvernance, détruit de 40 % en 2 jours

Le mélangeur crypto populaire Tornado Cash a perdu le contrôle total de sa gouvernance au profit d'un attaquant qui a utilisé un contrat malveillant pour obtenir des milliers de votes. L'incident a été découvert pour la première fois ce week-end par @samczsun, chercheur chez Paradigm, une société d'investissement axée sur le Web3.

Selon Samczsun tweeter L'attaquant a affirmé avoir utilisé la même logique qu'une proposition précédemment adoptée lors de la création de sa proposition malveillante, sans révéler qu'il avait ajouté des fonctionnalités supplémentaires.

Cependant, dans un développement plus récent, l’attaquant a « publié une nouvelle proposition de restauration du gouvernement », selon un message publié sur le forum communautaire de Mixer.

L'attaquant TornadoCash a introduit une nouvelle proposition qui, si elle était exécutée, réparerait apparemment les dommages causés à la fonctionnalité de gouvernance. Soit il s’agit d’un giga-trolling, soit cela finira par être une leçon coûteuse mais pas désastreuse en matière de sécurité de la gouvernance.https://t.co/QMWYFsi8kP

– 0xdeadf4ce (@0xdface) 21 mai 2023

Un attaquant s'empare de Tornado Cash Governance

Immédiatement après que les électeurs de Tornado Cash ont approuvé la proposition, l'exploiteur a implémenté la fonctionnalité EmergencyStop et a mis à jour la logique de la proposition pour s'accorder 1,2 million de faux votes. L’attaquant dispose de plus de 700 000 votes légitimes, ce qui lui permet d’acquérir le contrôle total sur la gouvernance du mélangeur crypto.

Avec un contrôle total, l'attaquant peut faire ce qu'il veut, par ex. Par ex. révoquer tous les votes verrouillés, vider tous les jetons du contrat de gouvernance et bloquer le routeur. Cependant, ils ne peuvent pas drainer des bassins individuels.

"En conclusion : que pouvons-nous apprendre de cela ? Faites attention à ce pour quoi vous votez ! Même si nous savons tous que les descriptions d'offres peuvent mentir, la logique des offres peut aussi mentir ! Si vous comptez sur le code source vérifié pour rester le même, assurez-vous que le contrat n'a pas la capacité de s'autodétruire", a prévenu Samczsun.

Plus de 2,1 millions de dollars de jetons TORN volés

Selon un tweet de Web3 Media Group, peu de temps après avoir repris le contrat avec Tornado Cash, l'exploiteur a retiré 473 000 TORN - le jeton natif du mixeur - d'une valeur de plus de 2,1 millions de dollars du contrat de gouvernance. @WhaleCoinTalk. L'acteur malveillant a vendu les actifs en chaîne et a déposé les bénéfices dans Tornado.

Tornadosaurus-Hex, membre actif de la communauté Tornado Cash, a confirmé que l'attaque avait compromis tous les fonds de gouvernance et a appelé tous les membres à retirer leurs actifs garantis dans le contrat.

Alors que Tornadosaurus-Hex pousse les utilisateurs à retirer leurs fonds, il a également tenté de proposer un contrat qui pourrait annuler les changements.

"Une solution proposée à l'attaque qui pourrait être viable consiste à annuler directement les modifications d'état apportées par l'attaquant au contrat. C'est pourquoi j'ai fourni un contrat qui devrait faire exactement cela. Veuillez le consulter et le suggérer si possible. Voyons si nous pouvons le faire, sinon nous sommes foutus, je dirais", a déclaré le membre de la communauté.

Comme on pouvait s'y attendre, le jeton natif du projet s'est écrasé après l'annonce de la nouvelle. TORN a bondi à 7,3 $ le 20 mai, mais a perdu environ 40 % de sa valeur dans les jours suivants et se situe désormais à 4,5 $.

.