يستحوذ المهاجم على Tornado Cash وتراجع الرمز المميز
يستحوذ المهاجم على Tornado Cash DAO مع تزوير الأصوات ، وتراجع الرمز المميز بنسبة 40٪ حيث سمح اقتراح خبيث لمهاجم مجهول بالاستيلاء على Tornado Cash ، مما فتح الباب على مصراعيه أمام استنزاف محتمل للخزانة.
تم الاستيلاء على عمليات التعامل مع DAO والأموال والخطط المستقبلية لخلاط التشفير الذي يركز على الخصوصية Tornado Cash بشكل فعال من قبل مهاجم مجهول الهوية ، أو مجموعة من المهاجمين ، يوم السبت.
تسمح DAOs ، وهي اختصار للمنظمات المستقلة اللامركزية ، لحاملي الرموز المميزة بحبس ممتلكاتهم كأصوات لاقتراح تغييرات على المشروع. يمكن أن تتراوح هذه التغييرات من نشر أموال الخزانة إلى الأغراض التي تفيد المشروع إلى التوسع على الشبكات الأخرى.
في بداية عطلة نهاية الأسبوع ، طرح المهاجم اقتراحا ضارا أخفى وظيفة رمز منحتهم أصواتا مزيفة يمكن استخدامها الآن للتعامل مع بعض جوانب Tornado Cash ، مثل الرموز الممزقة (TORN) الموجودة في عقد الحوكمة الرئيسي أو سحب الرموز الممزقة المقفلة.
وقد تم ذلك عن طريق طرح اقتراح يقلد إصدارا سابقا – باستثناء بعض التعليمات البرمجية الضارة التي سمحت بتحديث المنطق الذي منح المهاجم حق الوصول إلى جميع أصوات الحكم.
“الآن بعد أن حصلوا على جميع الأصوات ، يمكنهم فعل ما يريدون” ، @samczsun الأبحاث الأمنية على تويتر يوم الأحد. “في هذه الحالة ، قاموا ببساطة بسحب 10 صوت على أنها TORN وباعوها كلها.”
على هذا النحو ، لا يؤثر هذا الهجوم على بروتوكول Tornado Cash الفعلي – والذي يسمح للمستخدمين بتمرير الأموال من خلال الخدمة لإخفاء أو إخفاء تحركات الأموال وعناوين التشفير. لم يكن هذا الهجوم استغلالا لأي عقود ذكية أو تقنية تتعلق بعمل Tornado Cash.
وفي الوقت نفسه ، طرح مجتمع Tornado Cash مقترحات أحدث تسعى إلى التراجع عن التغييرات التي تم إجراؤها على المدونة. لاحظ أحد أفراد المجتمع أن المهاجم قد سكت بشكل ضار أكثر من 1 مليون ممزقة لأنفسهم ، بقيمة تزيد عن 4 ملايين دولار بالأسعار الحالية.
