Suche
Mein Konto
Tornado Cash Attacker lämnar in förslag om att återställa förvaltningskontrollen, TORN ned 40 % på 2 dagar
Den populära kryptomixern Tornado Cash förlorade fullständig kontroll över sin styrning till en angripare som använde ett skadligt kontrakt för att få tusentals röster. Incidenten upptäcktes först under helgen av @samczsun, en forskare på Web3-fokuserade investeringsföretaget Paradigm. Enligt Samczsun tweet, hävdade angriparen att ha använt samma logik som ett tidigare godkänt förslag när han skapade sitt skadliga förslag, utan att avslöja att han hade lagt till någon ytterligare funktion. Men i en nyare utveckling har angriparen "släppt ett nytt förslag till regeringsrestaurering", enligt ett inlägg på mixerns communityforum. …
Tornado Cash Attacker lämnar in förslag om att återställa förvaltningskontrollen, TORN ned 40 % på 2 dagar
Den populära kryptomixern Tornado Cash förlorade fullständig kontroll över sin styrning till en angripare som använde ett skadligt kontrakt för att få tusentals röster. Incidenten upptäcktes först under helgen av @samczsun, en forskare på Web3-fokuserade investeringsföretaget Paradigm.
Enligt Samczsun tweeta Angriparen påstod sig ha använt samma logik som ett tidigare godkänt förslag när han skapade sitt skadliga förslag, utan att avslöja att han hade lagt till någon ytterligare funktionalitet.
Men i en nyare utveckling har angriparen "släppt ett nytt förslag till regeringsrestaurering", enligt ett inlägg på mixerns communityforum.
TornadoCash-angriparen presenterade ett nytt förslag som, om det körs, till synes skulle upphäva skadan på förvaltningsfunktionaliteten. Antingen är detta giga-trolling, eller så kommer det att bli en dyr men inte katastrofal lektion i förvaltningssäkerhet.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21 maj 2023
Angriparen griper Tornado Cash Governance
Omedelbart efter att Tornado Cash-väljarna godkänt förslaget, implementerade exploatören EmergencyStop-funktionen och uppdaterade förslagslogiken för att ge sig själv 1,2 miljoner falska röster. Angriparen har mer än 700 000 legitima röster, så han har fått full kontroll över styrningen av kryptomixern.
Med fullständig kontroll kan angriparen göra vad han vill, t.ex. Till exempel. återkalla alla låsta röster, tömma alla tokens i styrningskontraktet och blockera routern. De kan dock inte dränera enskilda bassänger.
"Sammanfattningsvis: Vad kan vi lära oss av detta? Var försiktig med vad du röstar på! Även om vi alla vet att erbjudandebeskrivningar kan ljuga, kan erbjudandelogik också ljuga! Om du litar på att den verifierade källkoden förblir densamma, se till att kontraktet inte har förmågan att självförstöra", varnade Samczsun.
Över 2,1 miljoner dollar i TORN-tokens stulna
Enligt en tweet från Web3 Media Group, kort efter att ha tagit över kontraktet med Tornado Cash, drog exploatören ut 473 000 TORN - mixerns ursprungliga token - värda mer än 2,1 miljoner dollar från förvaltningskontraktet @WhaleCoinTalk. Den illvilliga skådespelaren sålde tillgångarna på kedjan och satte tillbaka vinsten i Tornado.
Tornadosaurus-Hex, en aktiv medlem av Tornado Cash-communityt, bekräftade att attacken hade äventyrat alla medel i förvaltningen och uppmanade alla medlemmar att dra tillbaka sina tillgångar som säkrats i kontraktet.
Medan Tornadosaurus-Hex pressar användare att ta ut sina pengar, har den också försökt tillhandahålla ett kontrakt som kan vända förändringarna.
"En föreslagen lösning på attacken som kan vara genomförbar är att direkt ångra de tillståndsförändringar som angriparen gjorde i kontraktet. Det är därför jag har tillhandahållit ett kontrakt som ska göra exakt det. Vänligen granska det och föreslå det om möjligt. Låt oss se om vi kan göra det, annars är vi skruvade skulle jag säga," sa communitymedlemmen.
Något förväntat kraschade projektets ursprungliga token efter att nyheten dök upp. TORN hoppade till $7,3 den 20 maj, men tappade cirka 40% av sitt värde under de följande dagarna och ligger nu på $4,5.
.