Tornado atakujący gotówką składa propozycję przywrócenia kontroli nad zarządzaniem, rozdarty o 40% w 2 dni

Tornado atakujący gotówką składa propozycję przywrócenia kontroli nad zarządzaniem, rozdarty o 40% w 2 dni

Popularny mikser kryptowalut Tornado Cash utracił całkowitą kontrolę nad swoim zarządzaniem na rzecz atakującego, który wykorzystał złośliwą umowę w celu uzyskania tysięcy głosów. Incydent został po raz pierwszy odkryty w weekend przez @samczsun, badacza w firmie inwestycyjnej Paradigm zajmującej się Web3.

Zdaniem Samczsuna ćwierkać Osoba atakująca twierdziła, że ​​podczas tworzenia swojej szkodliwej propozycji zastosowała tę samą logikę, co wcześniej przekazana propozycja, nie ujawniając, że dodał jakąkolwiek dodatkową funkcjonalność.

Jednakże, zgodnie z postem na forum społeczności miksera, atakujący „opublikował nową rządową propozycję przywrócenia działania”.

Osoba atakująca TornadoCash przedstawiła nową propozycję, która, jeśli zostanie wykonana, pozornie cofnie szkody wyrządzone funkcjonalności zarządzania. Albo jest to gigatrolling, albo będzie to kosztowna, ale nie katastrofalna lekcja bezpieczeństwa zarządzania.https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21 maja 2023 r

Atakujący przejmuje Tornado Cash Governance

Natychmiast po zatwierdzeniu propozycji przez wyborców Tornado Cash exploit wdrożył funkcję EmergencyStop i zaktualizował logikę propozycji, aby przyznać sobie 1,2 miliona fałszywych głosów. Atakujący dysponuje ponad 700 000 uprawnionych głosów, dzięki czemu uzyskał pełną kontrolę nad zarządzaniem kryptowalutą.

Mając pełną kontrolę, atakujący może robić co mu się podoba, np. Np. unieważnij wszystkie zablokowane głosy, opróżnij wszystkie tokeny w umowie o zarządzanie i zablokuj router. Nie mogą jednak opróżniać poszczególnych zbiorników.

„Podsumowując: czego możemy się z tego nauczyć? Uważajcie, na co głosujecie! Choć wszyscy wiemy, że opisy ofert mogą kłamać, logika ofert też może kłamać! Jeśli polegacie na zweryfikowanym kodzie źródłowym, aby pozostać niezmiennym, upewnijcie się, że umowa nie ma zdolności do samozniszczenia” – ostrzegł Samczsun.

Skradziono tokeny TORN o wartości ponad 2,1 miliona dolarów

Jak wynika z tweeta Web3 Media Group, wkrótce po przejęciu umowy z Tornado Cash, exploiter wycofał z umowy zarządczej 473 000 TORN – natywnego tokena miksera – o wartości ponad 2,1 mln dolarów @WhaleCoinTalk. Złośliwy aktor sprzedał aktywa w łańcuchu i zdeponował zyski z powrotem w Tornado.

Tornadosaurus-Hex, aktywny członek społeczności Tornado Cash, potwierdził, że atak naraził na szwank wszystkie fundusze zarządzające i wezwał wszystkich członków do wycofania swoich aktywów zabezpieczonych umową.

Chociaż Tornadosaurus-Hex namawia użytkowników do wycofania środków, próbował również zapewnić umowę, która mogłaby odwrócić zmiany.

„Proponowanym rozwiązaniem ataku, które może być wykonalne, jest bezpośrednie cofnięcie zmian stanu wprowadzonych w umowie przez atakującego. Dlatego przedstawiłem umowę, która powinna dokładnie to zrobić. Przejrzyj ją i zasugeruj, jeśli to możliwe. Zobaczmy, czy uda nam się to zrobić, w przeciwnym razie powiedziałbym, że mamy przechlapane” – powiedział członek społeczności.

Nieco oczekiwano, że natywny token projektu uległ awarii po ukazaniu się tej wiadomości. TORN wzrósł do 7,3 dolara 20 maja, ale w kolejnych dniach stracił około 40% swojej wartości i obecnie wynosi 4,5 dolara.

.