Tornado-Cash-Angreifer unterbreitet Vorschlag zur Wiederherstellung der Governance-Kontrolle, TORN-Down 40 % in 2 Tagen

Der beliebte Krypto-Mixer Tornado Cash verlor die vollständige Kontrolle über seine Governance an einen Angreifer, der einen böswilligen Vertrag einsetzte, um an Tausende von Stimmen zu gelangen. Der Vorfall wurde erstmals am Wochenende von @samczsun, einem Forscher der auf Web3 fokussierten Investmentfirma Paradigm, entdeckt.

Laut Samczsun twitternbehauptete der Angreifer, bei der Erstellung seines böswilligen Vorschlags die gleiche Logik wie ein zuvor verabschiedeter Vorschlag verwendet zu haben, ohne offenzulegen, dass er eine zusätzliche Funktion hinzugefügt hatte.

In einer neueren Entwicklung hat der Angreifer jedoch „einen neuen Vorschlag zur Wiederherstellung des Regierungszustands veröffentlicht“, heißt es in einem Beitrag im Community-Forum des Mixers.

Der TornadoCash-Angreifer stellte einen neuen Vorschlag vor, der, wenn er ausgeführt würde, den Schaden, der der Governance-Funktionalität zugefügt wurde, scheinbar wiedergutmachen würde. Entweder handelt es sich um Giga-Trolling, oder es wird am Ende eine teure, aber nicht katastrophale Lektion in Sachen Governance-Sicherheit.https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) 21. Mai 2023

Angreifer beschlagnahmt Tornado Cash Governance

Unmittelbar nachdem die Wähler von Tornado Cash den Vorschlag angenommen hatten, implementierte der Ausbeuter die EmergencyStop-Funktion und aktualisierte die Vorschlagslogik, um sich selbst 1,2 Millionen gefälschte Stimmen zu gewähren. Der Angreifer verfügt über mehr als 700.000 legitime Stimmen, sodass er die volle Kontrolle über die Governance des Krypto-Mixers erlangt hat.

Mit vollständiger Kontrolle kann der Angreifer tun und lassen, was er will, z. B. alle gesperrten Stimmen entziehen, alle Token im Governance-Vertrag entleeren und den Router blockieren. Sie können jedoch nicht einzelne Becken entwässern.

„Abschließend: Was können wir daraus lernen? Seien Sie vorsichtig, wofür Sie stimmen! Wir alle wissen zwar, dass Angebotsbeschreibungen lügen können, aber auch die Angebotslogik kann lügen! Wenn Sie darauf angewiesen sind, dass der verifizierte Quellcode gleich bleibt, stellen Sie sicher, dass der Vertrag nicht die Fähigkeit zur Selbstzerstörung besitzt“, warnte Samczsun.

Über 2,1 Millionen US-Dollar an TORN-Token gestohlen

Laut einem Tweet der Web3-Mediengruppe zog der Ausbeuter kurz nach der Übernahme des Vertrags mit Tornado Cash 473.000 TORN – den nativen Token des Mixers – im Wert von mehr als 2,1 Millionen US-Dollar aus dem Governance-Vertrag ab @WhaleCoinTalk. Der bösartige Akteur verkaufte die Vermögenswerte in der Kette und zahlte die Gewinne zurück in Tornado ein.

Tornadosaurus-Hex, ein aktives Mitglied der Tornado Cash-Community, bestätigte, dass der Angriff alle Gelder in der Governance kompromittiert hatte, und forderte alle Mitglieder auf, ihre im Vertrag gesicherten Vermögenswerte abzuheben.

Während Tornadosaurus-Hex die Benutzer dazu drängt, ihre Gelder abzuheben, hat es auch versucht, einen Vertrag bereitzustellen, der die Änderungen rückgängig machen könnte.

„Eine vorgeschlagene Lösung für den Angriff, die möglicherweise realisierbar ist, besteht darin, die Zustandsänderungen, die der Angreifer am Vertrag vorgenommen hat, direkt rückgängig zu machen. Aus diesem Grund habe ich einen Vertrag bereitgestellt, der genau dies tun sollte. Bitte prüfen Sie ihn und schlagen Sie ihn, wenn möglich, vor. Mal sehen, ob wir es schaffen, sonst sind wir am Arsch, würde ich sagen“, sagte das Community-Mitglied.

Etwas erwartet stürzte der native Token des Projekts ab, nachdem die Nachricht auftauchte. TORN sprang am 20. Mai auf 7,3 US-Dollar, verlor aber in den folgenden Tagen etwa 40 % seines Wertes und liegt nun bei 4,5 US-Dollar.

.

Die mobile Version verlassen