Suche
Mein Konto
Tornado Cash Attacker apresenta proposta para restaurar o controle de governança, derrubado 40% em 2 dias
O popular misturador de criptografia Tornado Cash perdeu o controle total de sua governança para um invasor que usou um contrato malicioso para obter milhares de votos. O incidente foi descoberto pela primeira vez no fim de semana por @samczsun, pesquisador da empresa de investimentos Paradigm, focada na Web3. De acordo com o tweet de Samczsun, o invasor alegou ter usado a mesma lógica de uma proposta aprovada anteriormente ao criar sua proposta maliciosa, sem revelar que havia adicionado qualquer recurso adicional. No entanto, num desenvolvimento mais recente, o atacante “lançou uma nova proposta de restauração governamental”, de acordo com uma publicação no fórum da comunidade do mixer. …
Tornado Cash Attacker apresenta proposta para restaurar o controle de governança, derrubado 40% em 2 dias
O popular misturador de criptografia Tornado Cash perdeu o controle total de sua governança para um invasor que usou um contrato malicioso para obter milhares de votos. O incidente foi descoberto pela primeira vez no fim de semana por @samczsun, pesquisador da empresa de investimentos Paradigm, focada na Web3.
De acordo com Samczsun twittar O invasor alegou ter usado a mesma lógica de uma proposta aprovada anteriormente ao criar sua proposta maliciosa, sem revelar que havia adicionado qualquer funcionalidade adicional.
No entanto, num desenvolvimento mais recente, o atacante “lançou uma nova proposta de restauração governamental”, de acordo com uma publicação no fórum da comunidade do mixer.
O invasor do TornadoCash apresentou uma nova proposta que, se executada, aparentemente desfaria os danos causados à funcionalidade de governança. Ou isso é giga-trolling ou acabará sendo uma lição cara, mas não desastrosa, de segurança de governança.https://t.co/QMWYFsi8kP
-0xdeadf4ce (@0xdface) 21 de maio de 2023
Atacante apreende Tornado Cash Governance
Imediatamente após os eleitores do Tornado Cash aprovarem a proposta, o explorador implementou o recurso EmergencyStop e atualizou a lógica da proposta para conceder a si mesmo 1,2 milhão de votos falsos. O invasor tem mais de 700.000 votos legítimos, portanto obteve controle total sobre a governança do misturador de criptografia.
Com controle total, o invasor pode fazer o que quiser, por ex. Por exemplo revogar todos os votos bloqueados, drenar todos os tokens do contrato de governança e bloquear o roteador. No entanto, não podem drenar bacias individuais.
"Concluindo: o que podemos aprender com isso? Tenha cuidado com o que você vota! Embora todos saibamos que as descrições das ofertas podem mentir, a lógica das ofertas também pode mentir! Se você confiar no código-fonte verificado para permanecer o mesmo, certifique-se de que o contrato não tem a capacidade de se autodestruir", alertou Samczsun.
Mais de US$ 2,1 milhões em tokens TORN roubados
De acordo com um tweet do Web3 Media Group, logo após assumir o contrato com o Tornado Cash, o explorador retirou 473.000 TORN – o token nativo do mixer – no valor de mais de US$ 2,1 milhões do contrato de governança @WhaleCoinTalk. O ator malicioso vendeu os ativos na rede e depositou os lucros de volta no Tornado.
Tornadosaurus-Hex, um membro ativo da comunidade Tornado Cash, confirmou que o ataque comprometeu todos os fundos na governança e apelou a todos os membros para retirarem os seus ativos garantidos no contrato.
Embora o Tornadosaurus-Hex esteja pressionando os usuários a retirarem seus fundos, ele também tentou fornecer um contrato que pudesse reverter as mudanças.
“Uma solução proposta para o ataque que pode ser viável é desfazer diretamente as alterações de estado que o invasor fez no contrato. É por isso que forneci um contrato que deve fazer exatamente isso.
Como era de se esperar, o token nativo do projeto travou depois que a notícia apareceu. TORN saltou para US$ 7,3 em 20 de maio, mas perdeu cerca de 40% de seu valor nos dias seguintes e agora está em US$ 4,5.
.