В дополнение к существующим препятствиям на пути децентрализованного криптомиксера Tornado Cash, злоумышленнику удалось получить полный контроль над управлением с помощью вредоносного предложения.

20 мая в 3:25 по восточному времени злоумышленник успешно передал 1,2 миллиона голосов вредоносному предложению. Учитывая, что предложение получило более 700 000 легитимных голосов, злоумышленник получил полный контроль над управлением Tornado Cash.

2023/05/20 в 07:25:11 UTC управление Tornado Cash фактически прекратило свое существование. С помощью вредоносного предложения злоумышленник присвоил себе 1 200 000 голосов. Поскольку это больше, чем ~700 000 легитимных голосов, они теперь полностью контролируют ситуацию.https://t.co/nY87XmrYgT pic.Twitter.com/h9qjc3xRqz

- @samczsun.com (@samczsun) 20 мая 2023 г.
Информацией поделился @samczsun из инвестиционной компании Paradigm, занимающейся исследованиями в области технологий. Он рассказал, что, выкладывая вредоносное предложение, злоумышленник утверждал, что в нем используется логика, схожая с предложением, которое ранее прошло мимо сообщества. Однако на этот раз предложение имело дополнительную функцию.

Как объяснил @samczsun:

"Как только предложение было принято избирателями, злоумышленник просто использовал функцию emergencyStop для обновления логики предложения, чтобы присвоить себе поддельные голоса".


Полный контроль над управлением Tornado Cash позволяет злоумышленнику отозвать все заблокированные голоса, слить все токены в контракте управления и замуровать маршрутизатор. На момент написания статьи злоумышленник "просто вывел 10 000 голосов в виде TORN и продал их все", - сказал @samczsun.
Атака стала напоминанием для криптоинвесторов о необходимости проверять описания и логику предложений. Активный участник сообщества Tornado Cash, выступающий под ником Tornadosaurus-Hex или Mr. Tornadosaurus Hex, подтвердил, что все средства в Governance потенциально скомпрометированы, и попросил всех участников вывести все средства, заблокированные в Governance.

Как показано выше, они также попытались развернуть контракт, который потенциально мог бы отменить изменения, но при этом предлагал сообществу забрать свои средства. Cointelegraph также получил сигнал бедствия от одного из разработчиков сообщества Tornado Cash, который подтвердил вышеупомянутые события, заявив:

"Сегодня утром произошла атака на протокол, о которой вы уже знаете. Весь день мы с другим разработчиком сообщества думали, что делать, но ситуация близка к безнадежной - в настоящее время атакующий контролирует Governance."
В настоящее время команда находится в поиске разработчиков Solidity, которые могут помочь спасти протокол от вымирания. Они дополнительно заявили, что "нам нужен контакт с Binance - у этой биржи больше токенов, чем у злоумышленника".

Как сообщается, бывший разработчик Tornado Cash работает над созданием с нуля нового сервиса для микширования криптовалют, который устраняет "критический недостаток", существовавший в Tornado Cash.

1/ Мы исправили @tornadocash 😇

v0 https://t.co/Nt4b2Tgx1D в прямом эфире на @optimismFND

протестируйте демо-версию, но, пожалуйста, обратите внимание:
- это экспериментальный код
- она не подвергалась аудиту
- доверенная установка является недоверенной

читать полностью анон 🧵👇https://t.co/9nAU3RrgpN

- Амин Солеймани (@ameensol) 4 марта 2023 г.
Разработчик надеется, что это решение позволит "сообществу защититься от хакеров, злоупотребляющих анонимностью честных пользователей, не требуя всеобщего регулирования и не жертвуя криптоидеалами".

Журнал: `Моральная ответственность`: Может ли блокчейн действительно повысить доверие к ИИ?

Источник