Napadalec tornado-Cash daje predlog za obnovo nadzora upravljanja, v 2 dneh je razbil 40 %
Napadalec tornado-Cash daje predlog za obnovo nadzora upravljanja, v 2 dneh je razbil 40 %
Priljubljeni kripto mešalnik Tornado Cash je izgubil popoln nadzor nad svojim upravljanjem do napadalca, ki je začel zlonamerno pogodbo, da bi dobil na tisoče glasov. Incident je prvič odkril @samczsun, raziskovalec paradigme investicijske družbe, osredotočeno na raziskovalca Web3.
according to Samczsun twittering, the attacker claimed when creating his patient proposal To have used the same logic as a proposal prej sprejet, ne da bi razkril, da je dodal dodatno funkcijo.
V nedavnem razvoju pa je napadalec "objavil nov predlog za obnovo vlade", pravi prispevek na forumu mešalnikov.
Napadalec tornadocash je predstavil nov predlog, ki bi, če bi bil izveden, očitno nadoknadila škodo, ki je bila nanesla funkcionalnosti upravljanja. Ali gre za giga, ali pa bo na koncu drag, vendar ne katastrofalna lekcija v smislu upravljanja.
-0xDeadf4ce (@0xdface) napadalca zaplene tornado gotovinsko upravljanje
Takoj po tem, ko so volivci iz Tornado Cash sprejeli predlog, je izkoriščal izvedel funkcijo nujne službe in posodobil logiko predloga za podelitev 1,2 milijona ponarejenih glasov. Napadalec ima več kot 700.000 legitimnih glasov, tako da je pridobil popoln nadzor nad upravljanjem kripto mešalnika. S popolnim nadzorom lahko napadalec naredi, kar hoče, npr. Na primer, vsi blokirani glasovi umaknejo, izpraznijo vse žetone v pogodbi o upravljanju in blokirajo usmerjevalnik. Vendar ne morete izsušiti posameznih bazenov. "Končno: Kaj se lahko iz tega naučimo? Bodite previdni, za kaj glasujete! Vsi vemo, da lahko opisi ponudbe lažejo, vendar lahko tudi logika ponudbe laže tudi! Če ste odvisni od dejstva, da preverjena izvorna koda ostaja enaka, poskrbite, da pogodba nima možnosti, da bi se samo -uvrstila," je opozoril Samczsun. Po tvitu medijske skupine Web3 se je izkoriščevalec potegnil kmalu po pogodbi s Tornado Cash 473.000 raztrganega žetona mešalnika, ki je vreden več kot 2,1 milijona dolarjev iz pogodbe o upravljanju od
Tornadosaurus-Hex, aktivni član gotovinske skupnosti Tornado, je potrdil, da je napad ogrozil vsa sredstva v upravljanju, in vse člane prosil, naj v pogodbi umaknejo svoje premoženje. Medtem ko Tornadosaurus-HEX poziva uporabnike, naj umaknejo svoja sredstva, je poskušal zagotoviti tudi pogodbo, ki bi lahko razveljavila spremembe. "Predlagana rešitev za napad, ki se je lahko uresničila, je, da spremenite spremembe v državi, ki jih je napadalca opravil na pogodbi. Zaradi tega sem navedel pogodbo, ki bi to morala storiti. Prosimo, preverite in predlagajte, če je mogoče.
Nekaj pričakovanega je padlo domači žeton projekta, potem ko se je sporočilo pojavilo. Torn je 20. maja skočil na 7,3 dolarja, v naslednjih dneh pa je izgubil približno 40 % svoje vrednosti in je zdaj 4,5 USD. več kot 2,1 milijona dolarjev ukradenih na raztrganih žetonih