L'attaccante Tornado Cash presenta una proposta per ripristinare il controllo della governance, TORN ridotto del 40% in 2 giorni

L'attaccante Tornado Cash presenta una proposta per ripristinare il controllo della governance, TORN ridotto del 40% in 2 giorni

Il popolare mixer di criptovalute Tornado Cash ha perso il controllo completo della sua governance a causa di un utente malintenzionato che ha utilizzato un contratto dannoso per ottenere migliaia di voti. L'incidente è stato scoperto per la prima volta durante il fine settimana da @samczsun, un ricercatore presso la società di investimento Paradigm focalizzata sul Web3.

Secondo Samczsun twittare L'aggressore ha affermato di aver utilizzato la stessa logica di una proposta approvata in precedenza durante la creazione della sua proposta dannosa, senza rivelare di aver aggiunto funzionalità aggiuntive.

Tuttavia, in uno sviluppo più recente, l’aggressore ha “rilasciato una nuova proposta di ripristino del governo”, secondo un post sul forum della community di Mixer.

L’aggressore TornadoCash ha introdotto una nuova proposta che, se eseguita, apparentemente annullerebbe il danno arrecato alla funzionalità di governance. O si tratta di giga-trolling, oppure finirà per essere una lezione costosa ma non disastrosa sulla sicurezza della governance. https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21 maggio 2023

L'aggressore si impossessa della Tornado Cash Governance

Subito dopo che gli elettori di Tornado Cash hanno approvato la proposta, l'exploiter ha implementato la funzione EmergencyStop e aggiornato la logica della proposta per assicurarsi 1,2 milioni di voti falsi. L'aggressore ha più di 700.000 voti legittimi, quindi ha acquisito il pieno controllo sulla governance del mixer crittografico.

Con il controllo completo, l'aggressore può fare quello che vuole, ad es. Per esempio. revocare tutti i voti bloccati, drenare tutti i token nel contratto di governance e bloccare il router. Tuttavia, non possono drenare i singoli bacini.

"In conclusione: cosa possiamo imparare da questo? Fate attenzione a cosa votate! Mentre sappiamo tutti che le descrizioni delle offerte possono mentire, anche la logica dell'offerta può mentire! Se fate affidamento sul codice sorgente verificato per rimanere lo stesso, assicuratevi che il contratto non abbia la capacità di autodistruggersi," ha avvertito Samczsun.

Rubati oltre 2,1 milioni di dollari in token TORN

Secondo un tweet di Web3 Media Group, poco dopo aver rilevato il contratto con Tornado Cash, lo sfruttatore ha ritirato dal contratto di governance 473.000 TORN - il token nativo del mixer - per un valore di oltre 2,1 milioni di dollari @WhaleCoinTalk. L'attore malintenzionato ha venduto gli asset on-chain e ha depositato nuovamente i profitti in Tornado.

Tornadosaurus-Hex, membro attivo della comunità Tornado Cash, ha confermato che l'attacco ha compromesso tutti i fondi della governance e ha invitato tutti i membri a ritirare i propri beni garantiti nel contratto.

Mentre Tornadosaurus-Hex spinge gli utenti a ritirare i propri fondi, ha anche tentato di fornire un contratto che potrebbe invertire i cambiamenti.

"Una soluzione proposta all'attacco che potrebbe essere praticabile è quella di annullare direttamente le modifiche di stato apportate dall'aggressore al contratto. Ecco perché ho fornito un contratto che dovrebbe fare esattamente questo. Per favore rivedilo e suggeriscilo se possibile. Vediamo se possiamo farlo, altrimenti siamo fregati direi," ha detto il membro della comunità.

In modo piuttosto prevedibile, il token nativo del progetto si è bloccato dopo la diffusione della notizia. TORN è balzato a 7,3 dollari il 20 maggio, ma nei giorni successivi ha perso circa il 40% del suo valore e si trova ora a 4,5 dollari.

.