Tornado-Cash Attacchiatore fa proposta per ripristinare il controllo della governance, demoliti il 40 % in 2 giorni
Tornado-Cash Attacchiatore fa proposta per ripristinare il controllo della governance, demoliti il 40 % in 2 giorni
Il popolare Crypto Mixer Tornado Cash ha perso il controllo completo sulla sua governance per un aggressore che ha avviato un contratto dannoso per ottenere migliaia di voci. L'incidente è stato scoperto per la prima volta da @samczsun, un ricercatore della società di investimento Paradigm incentrato su Web3, un ricercatore.
according to Samczsun twittering, the attacker claimed when creating his patient proposal To have used the same logic as a proposal previously adopted without rivelando che aveva aggiunto una funzione aggiuntiva.
In un recente sviluppo, tuttavia, l'attaccante ha "pubblicato una nuova proposta per il ripristino del governo", afferma un contributo nel forum della comunità del mixer.
L'attaccante tornadocash ha presentato una nuova proposta, che, se fosse stata eseguita, apparentemente compenserebbe il danno inflitto alla funzionalità di governance. O è una traina di giga, o alla fine sarà una lezione costosa ma non catastrofica in termini di governance. ;
L'attaccante confisca la governance di cassa tornado
Immediatamente dopo che gli elettori di Tornado Cash avevano accettato la proposta, il explotor ha implementato la funzione del pronto soccorso e ha aggiornato la logica della proposta per concedere 1,2 milioni di voci false. L'attaccante ha più di 700.000 voci legittime, quindi ha guadagnato il pieno controllo sulla governance del mixer crittografico.
Con il controllo completo, l'attaccante può fare ciò che vuole, ad es. Ad esempio, tutte le voci bloccate si ritirano, svuotano tutti i token nel contratto di governance e bloccano il router. Tuttavia, non è possibile svuotare le singole piscine.
"Infine: cosa possiamo imparare da esso? Stai attento a ciò per cui voti! Sappiamo tutti che le descrizioni delle offerte possono mentire, ma la logica dell'offerta può anche mentire! Se dipendi dal fatto che il codice sorgente verificato rimane lo stesso, assicurati che il contratto non abbia la possibilità di fare auto -distruzione", ha avvertito Samczsun.
oltre $ 2,1 milioni rubati su token strappati
Secondo un tweet del Web3 Media Group, l'explotor è stato raggiunto poco dopo il contratto con Tornado Cash 473.000 strappato: il token nativo del mixer più di $ 2,1 milioni dal contratto di governance da
Tornadosaurus-Hex, un membro attivo della comunità in contanti di Tornado, ha confermato che l'attacco aveva compromesso tutti i fondi nella governance e ha chiesto a tutti i membri di ritirare le loro attività garantite nel contratto. Mentre Tornadosaurus-Hex esorta gli utenti a ritirare i loro fondi, ha anche cercato di fornire un contratto che potrebbe annullare le modifiche. "Una soluzione proposta per l'attacco, che può essere realizzato, è quella di invertire le modifiche nello stato che l'attaccante ha apportato al contratto. Per questo motivo, ho fornito un contratto che dovrebbe farlo. Si prega di controllare e suggerire se possibile.
Qualcosa previsto è caduto nel token nativo del progetto dopo che è apparso il messaggio. Torn è saltato a $ 7,3 il 20 maggio, ma ha perso circa il 40 % del suo valore nei giorni seguenti e ora costa $ 4,5.