В дополнение к существующим блокпостам децентрализованного криптомиксера Tornado Cash злоумышленнику удалось получить полный контроль над управлением с помощью вредоносного предложения.
20 мая в 3:25 по восточноевропейскому времени злоумышленник успешно отдал 1,2 миллиона голосов за вредоносное предложение. Учитывая, что предложение получило более 700 000 законных голосов, злоумышленник получил полный контроль над управлением Tornado Cash.
20 мая 2023 г. в 07:25:11 UTC управление Tornado Cash фактически прекратило свое существование. По злонамеренному предложению злоумышленник присвоил себе 1 200 000 голосов. Поскольку это больше, чем ~ 700 000 законных голосов, теперь они имеют полный контроль. pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) 20 мая 2023 г.
Информацией поделился @samczsun из исследовательской технологической инвестиционной компании Paradigm, который сообщил, что при распространении вредоносного предложения злоумышленник утверждал, что он использовал логику, аналогичную предложению, которое ранее было принято сообществом. Однако на этот раз предложение имело дополнительную функцию.
Как объяснил @samczsun:
«Как только предложение было принято избирателями, злоумышленник просто использовал функцию EmergencyStop, чтобы обновить логику предложения, чтобы предоставить себе фальшивые голоса».
Полный контроль над управлением Tornado Cash позволяет злоумышленнику отозвать все заблокированные голоса, слить все токены в контракте управления и заблокировать маршрутизатор. На момент написания статьи злоумышленник «просто снял 10 000 голосов за TORN и продал их все», — сказал @samczsun.
Атака является напоминанием криптоинвесторам о необходимости проверить описания и логику предложений. Активное сообщество Tornado Cash, которое носит имя Tornadosaurus-Hex или Mr. Tornadosaurus Hex, подтвердило, что все средства в управлении потенциально скомпрометированы, и попросило всех участников вывести все средства, заблокированные в управлении.
Как показано выше, они также попытались развернуть контракт, который потенциально мог бы отменить изменения, но при этом предлагал сообществу снять свои средства. Коинтелеграф также получил сигнал бедствия от одного из разработчиков сообщества Tornado Cash, который подтвердил вышеуказанные события, заявив:
«Сегодня утром была атака на протокол, о которой вы уже знаете. Весь день мы с другим разработчиком сообщества думали, что делать, но ситуация близка к безвыходной — в настоящее время злоумышленник контролирует управление».
В настоящее время команда ищет разработчиков Solidity, которые могут помочь спасти протокол от исчезновения. Они дополнительно заявили, что «нам нужен контакт с Binance — у этой биржи больше токенов, чем у злоумышленника».
Связанный: Allbridge предлагает вознаграждение эксплуататору, который украл 573 тысячи долларов в атаке с флэш-кредитом
Сообщается, что бывший разработчик Tornado Cash работает над созданием новой службы микширования криптовалюты с нуля, которая устраняет «критический недостаток», существующий в Tornado Cash.
1/ Мы исправили @tornadocash 😇
v0 из находится в эфире @optimismFND
протестируйте демо, но обратите внимание:
— это экспериментальный код
— не проверено
— доверенная установка ненадежнапрочитать полную историю анон 🧵👇https://t.co/9nAU3RrgpN
— Амин Сулеймани (@ameensol) 4 марта 2023 г.
Источник: Сointеlеgrаph
