El atacante de Tornado-Cash hace una propuesta para restaurar el control de gobernanza, derribado 40 % en 2 días
El atacante de Tornado-Cash hace una propuesta para restaurar el control de gobernanza, derribado 40 % en 2 días
El popular mezclador criptográfico Tornado Cash perdió el control completo sobre su gobierno ante un atacante que comenzó un contrato malicioso para obtener miles de voces. El incidente fue descubierto por primera vez por @samczsun, un investigador de la compañía de inversión Paradigm centrado en Web3, un investigador.
according to Samczsun twittering, the attacker claimed when creating his patient proposal To have used the same logic as a proposal previously adopted without disclosing that he había agregado una función adicional.
En un desarrollo reciente, sin embargo, el atacante "ha publicado una nueva propuesta para la restauración del gobierno", dice una contribución en el Foro de la Comunidad de Mixer.
El atacante Tornadocash presentó una nueva propuesta, que, si se llevó a cabo, aparentemente compensaría el daño que se infligió en la funcionalidad de gobernanza. O es el trolling Giga, o al final será una lección costosa pero no catastrófica en términos de gobierno.
-0xdeadf4ce (@0xdface) El atacante confisca la gobernanza en efectivo de Tornado
Inmediatamente después de que los votantes de Tornado Cash hubieran aceptado la propuesta, el explotador implementó la función de la sala de emergencias y actualizó la lógica de la propuesta para otorgar 1.2 millones de voces falsas. El atacante tiene más de 700,000 voces legítimas, por lo que ha ganado el control total sobre el gobierno del mezclador criptográfico. Con control completo, el atacante puede hacer lo que quiera, p. Por ejemplo, todas las voces bloqueadas se retiran, vacían todos los tokens en el contrato de gobierno y bloquean el enrutador. Sin embargo, no puede drenar las piscinas individuales. "Finalmente: ¿Qué podemos aprender de él? ¡Tenga cuidado con lo que vota! Todos sabemos que las descripciones de ofertas pueden estar, pero la lógica de la oferta también puede mentir! Si depende del hecho de que el código fuente verificado sigue siendo el mismo, asegúrese de que el contrato no tenga la capacidad de hacer una auto -destrucción", advirtió Samczsun. Según un tweet del grupo de medios Web3, el explotador se retiró poco después del contrato con Tornado Cash 473,000 desgarrado: el token nativo del mezclador vale más de $ 2.1 millones del contrato de gobierno de
Tornadaurus-Hex, un miembro activo de la comunidad de tornados en efectivo, confirmó que el ataque había comprometido todos los fondos en el gobierno, y pidió a todos los miembros que retiraran sus activos asegurados en el contrato. Si bien Tornadaurus-Hex insta a los usuarios a retirar sus fondos, también ha tratado de proporcionar un contrato que pueda deshacer los cambios. "Una solución propuesta para el ataque, que puede realizarse, es revertir los cambios en el estado que el atacante ha realizado en el contrato. Por esta razón, he proporcionado un contrato que debería hacer esto. Compruebe y sugiera si es posible.
Se esperaba algo que se esperaba la token nativa del proyecto después de que apareció el mensaje. Torn aumentó a $ 7.3 el 20 de mayo, pero perdió alrededor del 40 % de su valor en los días siguientes y ahora cuesta $ 4.5. . Más de $ 2.1 millones robados en tokens desgarrados
Kommentare (0)