Tornado Cash Attacker подает предложение о восстановлении контроля над управлением, сбитое на 40% за 2 дня

Популярный миксер криптовалюты Tornado Cash потерял полный контроль над своим управлением из-за злоумышленника, который внедрил вредоносный контракт, чтобы получить доступ к тысячам голосов. Инцидент был впервые замечен @samczsun, исследователем инвестиционной компании Paradigm, ориентированной на web3, в выходные.

Согласно сообщению samczsun, злоумышленник утверждал, что использовал ту же логику, что и ранее переданное предложение, при создании своего вредоносного предложения, не раскрывая, что он добавил дополнительную функцию.

Однако в более поздних разработках злоумышленник «выпустил новое предложение по восстановлению состояния управления», согласно сообщению на форуме сообщества микшера.

Злоумышленник TornadoCash внедрил новое предложение, которое, в случае его выполнения, по-видимому, устранило бы ущерб, нанесенный функциям управления. Либо они занимаются троллингом, либо это окажется дорогим, но не катастрофическим уроком безопасности управления. https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21 мая 2023 г.

Злоумышленник захватывает Tornado Cash Governance

Вскоре после того, как избиратели Tornado Cash одобрили предложение, сутенер внедрил функцию EmergencyStop и обновил обоснование предложения, чтобы позволить себе 1,2 миллиона фальшивых голосов. Голоса злоумышленника являются более чем 700 000 законными, поэтому они получили полный контроль над управлением криптомиксером.

Обладая полным контролем, злоумышленник может делать все, что захочет, например отзывать все заблокированные голоса, сливать все токены в контракте управления и блокировать маршрутизатор. Однако они не могут осушать отдельные пулы.

«В конце концов, чему мы можем научиться из этого? Будьте осторожны, за что голосуете! Хотя все мы знаем, что описания предложений могут лгать, логика предложений тоже может лгать! Если вы зависите от проверенного исходного кода, убедитесь, что контракт не имеет возможности самоуничтожения», — предупредил samczsun.

Украдено более $2,1 млн токенов Torn

Вскоре после захвата контракта Tornado Cash сутенер высосал 473 000 TORN — собственного токена микшера — на сумму более 2,1 миллиона долларов из контракта на управление, согласно сообщению медиагруппы Web3 @WhaleCoinTalk . Злоумышленник продал активы в сети и перевел прибыль в Tornado.

Tornadosaurus-Hex, активный член сообщества Tornado Cash, подтвердил , что в результате атаки были скомпрометированы все средства в управлении, и попросил всех участников вывести свои активы, заблокированные в контракте.

Призывая пользователей вывести свои средства, Tornadosaurus-Hex также попытался реализовать контракт, который мог бы отменить изменения.

«Одно из предлагаемых решений атаки, которое может быть жизнеспособным, — это прямой откат изменений состояния, внесенных злоумышленником в контракт. Таким образом, я реализовал контракт, который должен сделать именно это… Пожалуйста, проверьте и, если возможно, предложите. Посмотрим, сможем ли мы это осуществить, иначе я бы сказал, что мы облажались», — сказал член сообщества.

Как и следовало ожидать, родной токен проекта потерпел крах после появления новостей. TORN подскочил до 7,3 доллара 20 мая, но в последующие дни потерял около 40% своей стоимости и теперь стоит 4,5 доллара.

Сообщение Tornado Cash Attacker вносит предложение вернуть контроль над управлением, TORN упал на 40% за 2 дня, впервые появилось на CryptoPotato .