Tornado-cash-angriberen fremsætter forslag om at gendanne styringskontrol, nedrykket 40 % på 2 dage
Tornado-cash-angriberen fremsætter forslag om at gendanne styringskontrol, nedrykket 40 % på 2 dage
Den populære crypto -mixer Tornado Cash mistede fuldstændig kontrol over sin regeringsførelse til en angriber, der startede en ondsindet kontrakt for at få tusinder af stemmer. Hændelsen blev først opdaget af @samczsun, en forsker af investeringsselskabets paradigme, der fokuserede på Web3, en forsker.
meget uden at afsløre, at han havde tilføjet en ekstra funktion.I en nylig udvikling har angriberen imidlertid "offentliggjort et nyt forslag til restaurering af regeringen," siger et bidrag i Mixer Community Forum.
TornAdocash -angriberen præsenterede et nyt forslag, som, hvis det blev udført, tilsyneladende ville kompensere for den skade, der blev påført regeringsfunktionalitet. Enten er det giga trolling, eller til sidst vil det være en dyr, men ikke katastrofal lektion med hensyn til regeringsførelse.
-0xdeadf4ce (@0xdface) angriber konfiskerer tornado kontantstyring
Umiddelbart efter, at vælgerne fra Tornado Cash havde accepteret forslaget, implementerede udnyttelsesfunktionen og opdaterede forslagets logik til at give 1,2 millioner falske stemmer. Angriberen har mere end 700.000 legitime stemmer, så han har fået fuld kontrol over styringen af crypto -mixeren. Med fuld kontrol kan angriberen gøre, hvad han vil, f.eks. For eksempel trækker alle blokerede stemmer, tomme alle symboler i regeringskontrakten og blokerer routeren. Du kan dog ikke dræne individuelle puljer. "Endelig: Hvad kan vi lære af det? Vær forsigtig med, hvad du stemmer for! Vi ved alle, at tilbudsbeskrivelser kan lyve, men tilbudslogikken kan også lyve! Hvis du er afhængig af det faktum, at den verificerede kildekode forbliver den samme, skal du sørge for, at kontrakten ikke har evnen til at gøre selvdestruktion," advarede Samczsun. Ifølge en tweet af Web3 Media Group trak udnyttelsen kort efter kontrakten med Tornado Cash 473.000 revet-det indfødte token af mixer-værdien mere end $ 2,1 millioner fra styringskontrakten fra
Tornadosaurus-hex, et aktivt medlem af Tornado Cash Community, bekræftede, at angrebet havde kompromitteret alle midler i regeringsførelse og bad alle medlemmer om at trække deres aktiver sikret i kontrakten. Mens Tornadosaurus-hex opfordrer brugerne til at trække deres midler tilbage, har det også forsøgt at give en kontrakt, der kan fortryde ændringerne. "En foreslået løsning for angrebet, som kan realiseres, er at vende de ændringer i staten, som angriberen har indgået på kontrakten. Af denne grund har jeg tilvejebragt en kontrakt, der skal gøre dette. Kontroller det og foreslå om muligt.
noget forventet faldt det indfødte token af projektet, efter at meddelelsen dukkede op. Revet sprang til $ 7.3 den 20. maj, men tabte omkring 40 % af sin værdi i de følgende dage og er nu $ 4,5. . over 2,1 millioner dollars stjålet på revne tokens
Kommentare (0)