Suche
Mein Konto
Tornado Cash-angriper sender inn forslag om å gjenopprette styringskontroll, TORN ned 40 % på 2 dager
Den populære kryptomikseren Tornado Cash mistet fullstendig kontroll over styringen til en angriper som brukte en ondsinnet kontrakt for å få tusenvis av stemmer. Hendelsen ble først oppdaget i løpet av helgen av @samczsun, en forsker ved Web3-fokusert investeringsselskap Paradigm. I følge Samczsun-tvitren hevdet angriperen å ha brukt samme logikk som et tidligere vedtatt forslag da han opprettet sitt ondsinnede forslag, uten å avsløre at han hadde lagt til noen tilleggsfunksjon. I en nyere utvikling har imidlertid angriperen "utgitt et nytt forslag til regjeringsrestaurering," ifølge et innlegg på mikserens fellesskapsforum. …
Tornado Cash-angriper sender inn forslag om å gjenopprette styringskontroll, TORN ned 40 % på 2 dager
Den populære kryptomikseren Tornado Cash mistet fullstendig kontroll over styringen til en angriper som brukte en ondsinnet kontrakt for å få tusenvis av stemmer. Hendelsen ble først oppdaget i løpet av helgen av @samczsun, en forsker ved Web3-fokusert investeringsselskap Paradigm.
Ifølge Samczsun tweet Angriperen hevdet å ha brukt samme logikk som et tidligere vedtatt forslag når han opprettet sitt ondsinnede forslag, uten å avsløre at han hadde lagt til noen tilleggsfunksjonalitet.
I en nyere utvikling har imidlertid angriperen "utgitt et nytt forslag til regjeringsrestaurering," ifølge et innlegg på mikserens fellesskapsforum.
TornadoCash-angriperen introduserte et nytt forslag som, hvis det ble utført, tilsynelatende ville oppheve skaden på styringsfunksjonaliteten. Enten er dette giga-trolling, eller så vil det ende opp med å bli en dyr, men ikke katastrofal leksjon i styringssikkerhet.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21. mai 2023
Angriperen griper Tornado Cash Governance
Umiddelbart etter at Tornado Cash-velgere godkjente forslaget, implementerte utnytteren EmergencyStop-funksjonen og oppdaterte forslagslogikken til å gi seg selv 1,2 millioner falske stemmer. Angriperen har mer enn 700 000 legitime stemmer, så han har fått full kontroll over styringen av kryptomikseren.
Med full kontroll kan angriperen gjøre hva han vil, f.eks. f.eks. tilbakekall alle låste stemmer, tøm alle tokens i styringskontrakten og blokker ruteren. De kan imidlertid ikke drenere individuelle bassenger.
"Til konklusjon: Hva kan vi lære av dette? Vær forsiktig med hva du stemmer på! Selv om vi alle vet at tilbudsbeskrivelser kan lyve, kan tilbudslogikk også lyve! Hvis du stoler på at den verifiserte kildekoden forblir den samme, sørg for at kontrakten ikke har evnen til selvdestruksjon," advarte Samczsun.
Over 2,1 millioner dollar i TORN-tokens stjålet
I følge en tweet fra Web3 Media Group, kort tid etter å ha overtatt kontrakten med Tornado Cash, trakk utnytteren 473 000 TORN - mikserens opprinnelige token - verdt mer enn 2,1 millioner dollar fra styringskontrakten @WhaleCoinTalk. Den ondsinnede skuespilleren solgte eiendelene på kjeden og deponerte overskuddet tilbake i Tornado.
Tornadosaurus-Hex, et aktivt medlem av Tornado Cash-fellesskapet, bekreftet at angrepet hadde kompromittert alle midler i styring og oppfordret alle medlemmer til å trekke tilbake eiendelene som er sikret i kontrakten.
Mens Tornadosaurus-Hex presser brukere til å ta ut pengene sine, har den også forsøkt å gi en kontrakt som kan reversere endringene.
"En foreslått løsning på angrepet som kan være levedyktig er å direkte angre de tilstandsendringene angriperen gjorde i kontrakten. Det er derfor jeg har gitt en kontrakt som skal gjøre akkurat det. Vennligst se gjennom den og foreslå den hvis mulig. La oss se om vi kan gjøre det, ellers er vi skrudd vil jeg si," sa samfunnsmedlemmet.
Noe forventet krasjet prosjektets opprinnelige token etter at nyheten dukket opp. TORN hoppet til $7,3 20. mai, men mistet omtrent 40 % av verdien i de påfølgende dagene og er nå på $4,5.
.