Atakujący ze strojem tornado składa propozycję przywrócenia kontroli zarządzania, rozdartych 40 % w ciągu 2 dni

Atakujący ze strojem tornado składa propozycję przywrócenia kontroli zarządzania, rozdartych 40 % w ciągu 2 dni

Popularny Crypto Mixer Tornado Cash stracił pełną kontrolę nad swoim zarządzaniem napastnikiem, który rozpoczął złośliwy kontrakt na uzyskanie tysięcy głosów. Incydent został po raz pierwszy odkryty przez @Samczsun, badacz paradygmatu spółki inwestycyjnej skoncentrowanej na Web3, badaczu.

Według samfon Jednak w niedawnym opracowaniu atakujący „opublikował nową propozycję przywrócenia rządu”, mówi wkład w Forum społeczności Mikser.

atakujący tornadokash przedstawił nową propozycję, która, gdyby została przeprowadzona, najwyraźniej zrekompensowałoby szkody wyrządzone funkcjonalności zarządzania. Albo jest to trolling Giga, albo ostatecznie będzie to droga, ale nie katastrofalna lekcja pod względem zarządzania.

-0xdeadf4ce (@0xdface) 21. maja 2023

Atakujący konfiskuje zarządzanie gotówką Tornado

Bezpośrednio po tym, jak wyborcy z Tornado Cash zaakceptowali propozycję, Exploitor wdrożył funkcję pogotowia i zaktualizował logikę propozycji udzielania 1,2 miliona fałszywych głosów. Atakujący ma ponad 700 000 uzasadnionych głosów, więc uzyskał pełną kontrolę nad zarządzaniem mikserem kryptograficznym.

Przy pełnej kontroli atakujący może robić, co chce, np. Na przykład wszystkie zablokowane głosy wycofują się, opróżnia wszystkie tokeny w umowie o zarządzanie i blokują router. Nie można jednak odceniać poszczególnych basenów.

„Wreszcie: czego możemy się z tego nauczyć? Uważaj na to, na co głosujesz! Wszyscy wiemy, że opisy ofert mogą kłamać, ale logika oferty może również kłamać! Jeśli jesteś zależny od faktu, że zweryfikowany kod źródłowy pozostaje taki sam, upewnij się, że umowa nie ma możliwości tworzenia autostrtyki”, ostrzegł samodza.

Ponad 2,1 miliona dolarów skradzionych na rozdartych tokenach

Według tweeta grupy medialnej Web3, Exploitor wycofał się wkrótce po umowie z Tornado Cash 473 000 Torn-rodzime token mieszanki ponad 2,1 miliona dolarów z umowy zarządzania z

Tornadosaurus-hex, aktywny członek społeczności Cash, potwierdził, że atak naruszył wszystkie fundusze na zarządzanie i poprosił wszystkich członków o wycofanie aktywów zabezpieczonych w umowie.

Podczas gdy Tornadosaurus-Hex zachęca użytkowników do wycofania funduszy, próbował również przedstawić umowę, która mogłaby cofnąć zmiany.

„Proponowane rozwiązanie ataku, które można zrealizować, jest odwrócenie zmian w stanie, które atakujący dokonał na umowie. Z tego powodu dostarczyłem umowę, która powinna to zrobić. Sprawdź to i zasugeruj, jeśli to możliwe.

Coś się spodziewało, że natywny token projektu po pojawił się wiadomość. Roztarwiony skoczył do 7,3 USD 20 maja, ale stracił około 40 % swojej wartości w następnych dniach i kosztuje 4,5 USD.

.