Atacante sequestra a governança do Tornado Cash por meio de proposta maliciosa
O controle total sobre a governança do Tornado Cash permite que o invasor retire todos os votos bloqueados, drene todos os tokens do contrato de governança e bloqueie o roteador.
Somando-se aos obstáculos existentes do misturador de criptografia descentralizado Tornado Cash, um invasor conseguiu obter controle total da governança por meio de uma proposta maliciosa.
Em 20 de maio, às 3h25 ET, um invasor concedeu com sucesso 1,2 milhão de votos a uma proposta maliciosa. Dado que a proposta recebeu mais de 700.000 votos legítimos, o atacante ganhou controlo total sobre a governação do Tornado Cash.
Em 20/05/2023 às 07:25:11 UTC, a governança do Tornado Cash efetivamente deixou de existir. Através de uma proposta maliciosa, um invasor concedeu 1.200.000 votos. Como isso representa mais do que cerca de 700.000 votos legítimos, eles agora têm controle total.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
Conforme explicado por @samczsun:
“Depois que a proposta foi aprovada pelos eleitores, o invasor simplesmente usou a função EmergencyStop para atualizar a lógica da proposta e conceder a si mesmo os votos falsos.”
Conforme mostrado acima, eles também tentaram implementar um contrato que poderia potencialmente reverter as mudanças, ao mesmo tempo que sugeriam à comunidade que retirasse os seus fundos. O Cointelegraph também recebeu um pedido de socorro de um dos desenvolvedores da comunidade Tornado Cash, que confirmou os desenvolvimentos acima, afirmando:
Relacionado: Allbridge oferece recompensa ao explorador que roubou US$ 573 mil em ataque de empréstimo instantâneo
Um ex-desenvolvedor do Tornado Cash está supostamente trabalhando na construção de um novo serviço de mistura de criptografia do zero, que aborda a “falha crítica” existente no Tornado Cash.
1/ Corrigimos @tornadocash 😇v0 de https://t.co/Nt4b2Tgx1D está ativo em @optimismFNDteste a demonstração, mas observe: - este é um código experimental - não foi auditado - a configuração confiável não é confiável leia o texto completo história anônima 🧵👇https://t.co/9nAU3RrgpN
Adicionar reação
Adicionar reação
Relacionado: Allbridge oferece recompensa ao explorador que roubou US$ 573 mil em ataque de empréstimo instantâneoRevista: 'Responsabilidade moral': O blockchain pode realmente melhorar a confiança na IA?