Tornado Cash Attacker depune o propunere de restabilire a controlului guvernanței, doborâtă cu 40% în 2 zile

Tornado Cash Attacker depune o propunere de restabilire a controlului guvernanței, doborâtă cu 40% în 2 zile

Popularul mixer criptografic Tornado Cash a pierdut controlul complet asupra guvernării în fața unui atacator care a folosit un contract rău intenționat pentru a obține mii de voturi. Incidentul a fost descoperit pentru prima dată în weekend de @samczsun, un cercetător la firma de investiții Paradigm, axată pe Web3.

Potrivit lui Samczsun tweet Atacatorul a susținut că a folosit aceeași logică ca și o propunere trecută anterior atunci când și-a creat propunerea rău intenționată, fără a dezvălui că a adăugat vreo funcționalitate suplimentară.

Cu toate acestea, într-o dezvoltare mai recentă, atacatorul „a lansat o nouă propunere de restaurare a guvernului”, potrivit unei postări pe forumul comunității mixerului.

Atacatorul TornadoCash a introdus o nouă propunere care, dacă ar fi executată, se pare că ar remedia daunele aduse funcționalității de guvernare. Fie acesta este giga-trolling, fie va ajunge să fie o lecție costisitoare, dar nu dezastruoasă, în domeniul securității guvernării.https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21 mai 2023

Atacatorul pune mâna pe Tornado Cash Governance

Imediat după ce alegătorii Tornado Cash au aprobat propunerea, exploatatorul a implementat funcția EmergencyStop și a actualizat logica propunerii pentru a-și acorda 1,2 milioane de voturi false. Atacatorul are peste 700.000 de voturi legitime, așa că a câștigat controlul deplin asupra guvernării mixerului cripto.

Cu control complet, atacatorul poate face tot ce vrea, de ex. de ex. revocați toate voturile blocate, scurgeți toate jetoanele din contractul de guvernare și blocați routerul. Cu toate acestea, ele nu pot scurge bazinele individuale.

"În concluzie: Ce putem învăța din asta? Fiți atenți la ce votați! Deși știm cu toții că descrierile ofertelor pot minți, și logica ofertei poate minți! Dacă vă bazați pe codul sursă verificat pentru a rămâne același, asigurați-vă că contractul nu are capacitatea de a se autodistruge", a avertizat Samczsun.

Peste 2,1 milioane USD în jetoane TORN furate

Potrivit unui tweet de la Web3 Media Group, la scurt timp după preluarea contractului cu Tornado Cash, exploatatorul a retras 473.000 TORN - tokenul nativ al mixerului - în valoare de peste 2,1 milioane de dolari din contractul de guvernare. @WhaleCoinTalk. Actorul rău intenționat a vândut activele în lanț și a depus profiturile înapoi în Tornado.

Tornadosaurus-Hex, un membru activ al comunității Tornado Cash, a confirmat că atacul a compromis toate fondurile în guvernare și a cerut tuturor membrilor să-și retragă activele garantate prin contract.

În timp ce Tornadosaurus-Hex împinge utilizatorii să-și retragă fondurile, a încercat, de asemenea, să ofere un contract care ar putea inversa modificările.

"O soluție propusă pentru atac care ar putea fi viabilă este anularea directă a modificărilor de stat făcute de atacator în contract. De aceea am furnizat un contract care ar trebui să facă exact asta. Vă rog să-l revizuiți și să sugerați-l dacă este posibil. Să vedem dacă putem să o facem, altfel suntem înnebuniți aș ​​spune", a spus membrul comunității.

Cumva de așteptat, simbolul nativ al proiectului s-a prăbușit după ce a apărut știrea. TORN a sărit la 7,3 dolari pe 20 mai, dar a pierdut aproximativ 40% din valoarea sa în zilele următoare și este acum la 4,5 dolari.

.