A Tornado Cash Attacker javaslatot nyújtott be az irányítási ellenőrzés visszaállítására, 2 nap alatt 40%-kal csökkent

A Tornado Cash Attacker javaslatot nyújtott be az irányítási ellenőrzés visszaállítására, 2 nap alatt 40%-kal csökkent

A népszerű kriptokeverő, a Tornado Cash elvesztette az irányítása feletti teljes irányítást egy támadó miatt, aki rosszindulatú szerződést használt fel több ezer szavazat megszerzésére. Az incidenst először a hétvégén fedezte fel @samczsun, a Web3-ra fókuszáló Paradigm befektetési cég kutatója.

Samczsun szerint csipog A támadó azt állította, hogy ugyanazt a logikát használta, mint egy korábban elfogadott javaslat, amikor létrehozta rosszindulatú javaslatát, anélkül, hogy nyilvánosságra hozta volna, hogy további funkciókat adott hozzá.

Egy újabb fejleményben azonban a támadó „új kormány-helyreállítási javaslatot tett közzé” a mixer közösségi fórumán megjelent bejegyzés szerint.

A TornadoCash támadó egy új javaslatot vezetett be, amely végrehajtása esetén látszólag helyrehozná az irányítási funkcionalitásban okozott károkat. Ez vagy gigatrollkodás, vagy drága, de nem vészes lecke lesz a kormányzás biztonságáról. https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 2023. május 21

A támadó lefoglalja a Tornado Cash Governance-t

Közvetlenül azután, hogy a Tornado Cash szavazói jóváhagyták a javaslatot, az exploiter bevezette az EmergencyStop funkciót, és frissítette a javaslat logikáját, hogy 1,2 millió hamis szavazatot biztosítson magának. A támadó több mint 700 000 legitim szavazattal rendelkezik, így teljes ellenőrzést szerzett a kriptokeverő irányítása felett.

Teljes kontroll mellett a támadó azt csinálhat, amit akar, pl. Például. vonja vissza az összes zárolt szavazatot, törölje le az irányítási szerződésben szereplő összes tokent, és blokkolja az útválasztót. Az egyes medencéket azonban nem tudják leereszteni.

"Összefoglalva: mit tanulhatunk ebből? Vigyázz, mire szavazol! Bár mindannyian tudjuk, hogy az ajánlatleírások hazudhatnak, az ajánlati logika is hazudhat! Ha az ellenőrzött forráskódra hagyatkozik, hogy változatlan maradjon, ügyeljen arra, hogy a szerződés ne legyen képes önmegsemmisíteni" - figyelmeztetett Samczsun.

Több mint 2,1 millió dollár értékben loptak el TORN tokeneket

A Web3 Media Group tweetje szerint nem sokkal azután, hogy átvette a Tornado Cash-sel kötött szerződést, a kihasználó 473 000 TORN-t – a keverő natív tokent – ​​több mint 2,1 millió dollár értékben visszavont az irányítási szerződésből. @WhaleCoinTalk. A rosszindulatú színész eladta az eszközöket a láncon, és a nyereséget visszafizette a Tornadoba.

A Tornadosaurus-Hex, a Tornado Cash közösség aktív tagja megerősítette, hogy a támadás veszélyeztette az összes irányítást, és felszólította az összes tagot, hogy vonják vissza a szerződésben biztosított vagyonukat.

Miközben a Tornadosaurus-Hex arra készteti a felhasználókat, hogy vonják ki pénzüket, megpróbált olyan szerződést kötni, amely visszafordíthatja a változásokat.

"Az egyik javasolt megoldás a támadásra, ami életképes lehet, hogy közvetlenül visszavonják a támadó által a szerződésben végrehajtott állapotváltozásokat. Ezért készítettem egy szerződést, aminek pontosan ezt kell tennie. Kérem, tekintse át, és javasolja, ha lehetséges. Lássuk, meg tudjuk-e csinálni, különben el vagyunk tévedve, mondom" - mondta a közösség tagja.

Kissé várható volt, hogy a projekt natív tokenje összeomlott a hír megjelenése után. A TORN május 20-án 7,3 dollárra ugrott, de a következő napokban mintegy 40%-ot veszített értékéből, és most 4,5 dolláron áll.

.