龙卷风现金攻击者提交恢复治理控制的提案，两天内损失 40%

龙卷风现金攻击者提交恢复治理控制的提案，两天内损失 40%

流行的加密货币混合器 Tornado Cash 失去了对其治理的完全控制权，攻击者使用恶意合约获得了数千张选票。 该事件是由关注 Web3 的投资公司 Paradigm 的研究员@samczsun 在周末首次发现的。

据 Samczsun 报道 鸣叫 攻击者声称在创建恶意提案时使用了与之前通过的提案相同的逻辑，但没有透露他添加了任何附加功能。

然而，根据混音器社区论坛上的一篇帖子，在最近的进展中，攻击者“发布了新的政府恢复提案”。

TornadoCash 攻击者提出了一项新提案，如果执行，似乎可以消除对治理功能造成的损害。 这要么是巨大的恶意攻击，要么最终将成为治理安全方面代价高昂但并非灾难性的教训。https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 2023 年 5 月 21 日

攻击者夺取了龙卷风现金治理

在 Tornado Cash 选民批准该提案后，利用者立即实施了 EmergencyStop 功能并更新了提案逻辑，为自己授予了 120 万张假选票。 攻击者拥有超过 70 万张合法选票，因此他完全控制了加密货币混合器的治理。

在完全控制的情况下，攻击者可以为所欲为，例如例如。撤销所有锁定的投票，耗尽治理合约中的所有代币并阻止路由器。 然而，它们不能排空单个盆地的水。

“总之：我们能从中学到什么？要小心你投票的内容！虽然我们都知道优惠描述可能会撒谎，但优惠逻辑也可能会撒谎！如果你依赖经过验证的源代码来保持不变，请确保合约没有自毁能力，”Samczsun 警告说。

价值超过 210 万美元的 TORN 代币被盗

根据 Web3 Media Group 的一条推文，在接管 Tornado Cash 合约后不久，攻击者从治理合约中提取了 473,000 个 TORN（混币器的原生代币），价值超过 210 万美元 @WhaleCoinTalk 。 恶意行为者在链上出售资产并将利润存回 Tornado。

Tornadosaurus-Hex 是 Tornado Cash 社区的活跃成员，他确认这次攻击已经损害了治理中的所有资金，并呼吁所有成员撤回合同中担保的资产。

虽然 Tornadosaurus-Hex 正在敦促用户撤回资金，但它也试图提供一份可以扭转这些变化的合约。

“针对攻击提出的可行解决方案是直接撤消攻击者对合约所做的状态更改。这就是为什么我提供了一个完全可以做到这一点的合约。请审查它并在可能的情况下提出建议。让我们看看我们是否可以做到这一点，否则我们就完蛋了，”社区成员说。

不出所料，该项目的原生代币在消息曝光后崩溃了。 TORN 在 5 月 20 日跃升至 7.3 美元，但在接下来的几天里损失了约 40% 的价值，目前为 4.5 美元。

。