Уязвимость Tornado Cash: разработчики отмечают риск депозитов с 1 января

По словам разработчика Tornado Cash под псевдонимом Gas404, депозиты, внесенные в Tornado Cash с использованием шлюзов IPFS через шлюзы IPFS, такие как ipfs.io, cf-ipfs.com и ETH.Link, могли быть скомпрометированы, что потенциально подвергает риску внесенные пользователем средства. .`

Пострадавшим пользователям было рекомендовано принять незамедлительные меры для защиты своих депозитов.

Депозиты пользователей уязвимы

Согласно сообщению в блоге Gas404, сообщество сделало поразительное открытие о наличии вредоносного кода JavaScript, который был скрыт в предложении по управлению, представленном предполагаемым разработчиком Tornado Cash, известным как Butterfly Effects.

Предполагается, что этот скрытый код с 1 января передавал депозитные банкноты на частный сервер, контролируемый разработчиком.

Примечательно, что риск, похоже, ограничивается развертыванием Tornado Cash с помощью IPFS, поскольку Gas404 упомянул, что изменения в минимизированном исходном коде можно легко проверить на локальных интерфейсах.

Чтобы смягчить потенциальный ущерб, в сообщении рекомендуется держателям собственного токена Tornado Cash, TORN, проголосовать за вето на два сомнительных предложения, ранее выдвинутых эксплуататором.

«Это будет учитываться только при развертывании Tornado Cash в IPFS, поскольку минимизированный источник стал скрытой ловушкой для мошенников, и, таким образом, люди, которые взаимодействовали с контрактом с использованием локальных интерфейсов, будут считаться безопасными, поскольку изменения в коммитах можно легко проверить. "

Падение Tornado Cash

Tornado Cash — один из самых популярных крипто-миксеров в мире. Серьезным ударом стало то, что Управление по контролю за иностранными активами Министерства финансов США (OFAC) в августе 2022 года наложило санкции на Tornado Cash, запретив физическим лицам, резидентам и организациям на территории Соединенных Штатов участвовать в финансовых транзакциях через платформу.

Министерство финансов заявило, что криптомиксер способствовал отмыванию более 7 миллиардов долларов в цифровых валютах, включая 455 миллионов долларов, которые, как предполагается, были украдены в 2022 году Lazarus Group, печально известной организацией, связанной с правительством Северной Кореи.

Впоследствии домен проекта был конфискован, а GitHub удалил репозиторий Tornado Cash, приостановив при этом учетные записи разработчиков, что вызвало протест со стороны защитников конфиденциальности. Платформа, принадлежащая Microsoft, позже разблокировала миксер монет и участников.

В мае прошлого года злоумышленник применил обманное предложение, чтобы получить контроль над децентрализованной автономной организацией Tornado Cash (DAO). Предложение содержало скрытый код, который давал хакеру право собственности на поддельные токены для голосования после одобрения DAO.

После успешного голосования хакер набрал достаточно голосов, чтобы манипулировать будущими предложениями. К концу месяца хакер, по-видимому, отказался от контроля, конвертировав часть украденных токенов управления стоимостью примерно 900 000 долларов в эфир, которые затем были отмыты через сервис Tornado Cash.

Ситуация еще больше усложняется тем, что еще двум разработчикам «Торнадо», Роману Шторму и Роману Семенову, предъявлены обвинения, связанные с их предполагаемым участием в содействии отмыванию денег на общую сумму 1 миллиард долларов. Роман Сторм был впоследствии задержан в штате Вашингтон и не признал себя «виновным» по предъявленным ему обвинениям.