Un cod JavaScript malitios ascuns într-o propunere de guvernare Tornado Cash a fost sursa unor scurgeri de note de depozit și date către un server privat timp de aproape două luni.
Această scurgere compromite intimitatea și securitatea tuturor tranzacțiilor financiare efectuate prin implementările IPFS, cum ar fi gateway-urile ipfs.io, cf-ipfs.com și eth.link începând cu 1 ianuarie.
Un cercetător în securitate care folosește pseudonimul Gas404 a descoperit și a raportat codul malitios, îndemnând părțile interesate să respingă propunerile de guvernare malitioase.
Tornado Cash este un mixer descentralizat, open-source pe blockchain-ul Ethereum care oferă intimitate pentru tranzacții printr-o anonimizare non-custodială, trustless și fără servere.
El folosește un sistem criptografic de zero-cunoaștere numit SNARKs (Argument Succint Non-Interactiv de Cunoaștere Zero) pentru a permite utilizatorilor să depună și să retragă fonduri în mod anonim.
Pe lângă utilizatorii cu motive legitime de a-și proteja tranzacțiile de observatorii externi, Tornado Cash a fost folosit și pentru spălare de bani.
Utilizarea mixerului în scopuri ilegale a condus la sancțiuni în Statele Unite în 2022, iar fondatorii proiectului au fost acuzați în 2023 că au ajutat criminalii să spele peste 1 miliard de dolari în criptomonede furate.
Propunerile de guvernare în organizațiile autonome descentralizate (DAOs) precum Tornado Cash sunt mecanisme fundamentale pentru stabilirea direcțiilor strategice, introducerea actualizărilor și modificarea nucleului protocoalelor tehnice.
Ele sunt trimise de deținătorii de token-uri pe lanț și sunt ulterior discutate și votate de comunitatea proiectului. În cazul acceptării, propunerile sunt implementate în protocol.
În cazul compromiterii Tornado Cash, codul JS malitios a fost introdus acum două luni printr-o propunere de guvernare (numărul 47) de la ‘Butterfly Effects’ – presupus un dezvoltator din comunitate, și a modificat protocolul pentru a scurge notele de depozit către serverul atacatorului.
Gas404 spune că funcția malitioasă encodează notele private de depozit pentru a le face să pară ca datele obișnuite ale apelurilor de tranzacții pe blockchain și ascunde utilizarea funcției ‘window.fetch’ pentru a obfuscui și mai mult mecanismul de exploatare.
Dezvoltatorii Tornado Cash au confirmat compromiterea și au avertizat cu privire la riscuri, sfătuind utilizatorii să-și retragă notele vechi și posibil expuse și să le înlocuiască cu altele nou generate.
De asemenea, deținătorilor de token-uri cu drept de vot li s-a recomandat să-și anuleze voturile pentru propunerea 47 pentru a reveni la modificările de protocol și a elimina codul malitios.
Aceasta nu va elimina totuși scurgerea datelor sensibile. Pentru a reduce riscul, Gas404 sfătuiește utilizatorii potențial expuși să treacă la o implementare specifică ContextHash IPFS recomandată anterior și verificată prin guvernarea Tornado Cash.
Trezor support site breach exposes personal data of 66,000 customers
Steel giant ThyssenKrupp confirms cyberattack on automotive division
LockBit ransomware gang has over $110 million in unspent bitcoin
North Korean hackers now launder stolen crypto via YoMix tumbler
Hackers mint 1.79 billion crypto tokens from PlayDapp gaming platform
Leave a Reply