Suche
Mein Konto
Napadalec Tornado Cash predložil predlog za ponovno vzpostavitev nadzora nad upravljanjem, TORN padel za 40 % v 2 dneh
Priljubljeni kripto mešalnik Tornado Cash je izgubil popoln nadzor nad svojim upravljanjem zaradi napadalca, ki je uporabil zlonamerno pogodbo za pridobivanje na tisoče glasov. Incident je konec tedna prvi odkril @samczsun, raziskovalec investicijskega podjetja Paradigm, osredotočenega na Web3. Glede na tvit Samczsun je napadalec trdil, da je pri ustvarjanju svojega zlonamernega predloga uporabil isto logiko kot predhodno sprejet predlog, ne da bi razkril, da je dodal kakršno koli dodatno funkcijo. Vendar pa je v novejšem razvoju napadalec "izdal nov vladni predlog za obnovo," glede na objavo na forumu skupnosti mešalnika. …
Napadalec Tornado Cash predložil predlog za ponovno vzpostavitev nadzora nad upravljanjem, TORN padel za 40 % v 2 dneh
Priljubljeni kripto mešalnik Tornado Cash je izgubil popoln nadzor nad svojim upravljanjem zaradi napadalca, ki je uporabil zlonamerno pogodbo za pridobivanje na tisoče glasov. Incident je konec tedna prvi odkril @samczsun, raziskovalec investicijskega podjetja Paradigm, osredotočenega na Web3.
Po Samczsunu tvit Napadalec je trdil, da je pri ustvarjanju zlonamernega predloga uporabil isto logiko kot predhodno sprejet predlog, ne da bi razkril, da je dodal kakršno koli dodatno funkcionalnost.
Vendar pa je v novejšem razvoju napadalec "izdal nov vladni predlog za obnovo," glede na objavo na forumu skupnosti mešalnika.
Napadalec TornadoCash je predstavil nov predlog, ki bi, če bi bil izveden, na videz odpravil škodo, povzročeno funkcionalnosti upravljanja. Ali je to giga trolanje ali pa bo na koncu draga, a ne katastrofalna lekcija o varnosti upravljanja. https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21. maj 2023
Napadalec zaseže Tornado Cash Governance
Takoj po tem, ko so volivci Tornado Cash odobrili predlog, je izkoriščevalec implementiral funkcijo EmergencyStop in posodobil logiko predloga, da si je podelil 1,2 milijona lažnih glasov. Napadalec ima več kot 700.000 zakonitih glasov, tako da je pridobil popoln nadzor nad upravljanjem kripto mešalnika.
S popolnim nadzorom lahko napadalec počne kar hoče, npr. Npr. prekliče vse zaklenjene glasove, izprazni vse žetone v pogodbi o upravljanju in blokira usmerjevalnik. Ne morejo pa izsušiti posameznih kotlin.
"Za zaključek: Kaj se lahko iz tega naučimo? Pazite, za kaj glasujete! Čeprav vsi vemo, da lahko opisi ponudb lažejo, lahko tudi logika ponudbe laže! Če se zanašate na preverjeno izvorno kodo, da ostane enaka, zagotovite, da pogodba nima zmožnosti samouničenja," je opozoril Samczsun.
Ukradenih več kot 2,1 milijona dolarjev žetonov TORN
Glede na tvit skupine Web3 Media Group je izkoriščevalec kmalu po prevzemu pogodbe s Tornado Cash iz pogodbe o upravljanju umaknil 473.000 TORN – domači žeton mešalnika – v vrednosti več kot 2,1 milijona dolarjev. @WhaleCoinTalk. Zlonamerni igralec je premoženje prodal v verigi in dobiček nakazal nazaj v Tornado.
Tornadosaurus-Hex, aktivni član skupnosti Tornado Cash, je potrdil, da je napad ogrozil vsa sredstva v upravljanju, in pozval vse člane, naj umaknejo svoja sredstva, zavarovana v pogodbi.
Medtem ko Tornadosaurus-Hex uporabnike sili, naj dvignejo svoja sredstva, je poskušal zagotoviti tudi pogodbo, ki bi lahko razveljavila spremembe.
"Predlagana rešitev za napad, ki bi lahko bila izvedljiva, je neposredna razveljavitev sprememb stanja, ki jih je napadalec naredil v pogodbi. Zato sem zagotovil pogodbo, ki bi morala storiti točno to. Prosimo, da jo pregledate in predlagate, če je mogoče. Poglejmo, ali lahko to storimo, sicer bi rekli, da smo zajebani," je dejal član skupnosti.
Nekako pričakovano se je izvorni žeton projekta zrušil po novici. TORN je 20. maja poskočil na 7,3 $, vendar je v naslednjih dneh izgubil približno 40 % svoje vrednosti in je zdaj pri 4,5 $.
.