مهاجم يختطف إدارة Tornado Cash عبر عرض خبيث

إضافة إلى الحواجز الحالية لخلاط التشفير اللامركزي Tornado Cash ، تمكن المهاجم من السيطرة الكاملة على الحوكمة من خلال اقتراح ضار. 

في 20 مايو الساعة 3:25 بالتوقيت الشرقي ، نجح المهاجم في منح 1.2 مليون صوت لاقتراح ضار. بالنظر إلى أن الاقتراح حصل على أكثر من 700,000 صوت شرعي ، اكتسب المهاجم سيطرة كاملة على إدارة Tornado Cash.

في 2023/05/20 الساعة 07:25:11 بالتوقيت العالمي المنسق ، لم تعد حوكمة تورنادو كاش موجودة فعليًا. من خلال اقتراح خبيث ، منح المهاجم نفسه 1,200,000 صوت. نظرًا لأن هذا يزيد عن 700,000 صوت شرعي ، فإنهم يتمتعون الآن بالسيطرة الكاملة.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz

- samczsun.com @ (samczsun) 20 مايو 2023

تمت مشاركة المعلومات بواسطةsamczsun من شركة استثمار التكنولوجيا المعتمدة على الأبحاث ، والتي كشفت أنه عند مشاركة الاقتراح الخبيث ، ادعى المهاجم أنه استخدم منطقًا مشابهًا للاقتراح الذي مر به المجتمع سابقًا. ومع ذلك ، هذه المرة ، كان للاقتراح وظيفة إضافية. 

كما أوضح من قبلsamczsun:

"بمجرد أن تم تمرير الاقتراح من قبل الناخبين ، استخدم المهاجم ببساطة وظيفة EmergencyStop لتحديث منطق الاقتراح لمنح أنفسهم الأصوات المزيفة."

تسمح السيطرة الكاملة على حوكمة Tornado Cash للمهاجم بسحب جميع الأصوات المقفلة ، واستنزاف جميع الرموز المميزة في عقد الحوكمة وتدمير جهاز التوجيه. في وقت كتابة هذا التقرير ، قال المهاجم "ببساطة سحب 10,000 صوت باسم TORN وباعها بالكامل" ، قالsamczsun.

يأتي الهجوم كتذكير لمستثمري العملات المشفرة لفحص أوصاف الاقتراح والمنطق. أكد مجتمع نشط من Tornado Cash ، الذي يحمل اسم Tornadosaurus-Hex أو السيد Tornadosaurus Hex ، أن جميع الأموال في الحوكمة معرضة للخطر ، وطلب من جميع الأعضاء سحب جميع الأموال المقيدة في الحوكمة.

كما هو موضح أعلاه ، فقد حاولوا أيضًا نشر عقد من المحتمل أن يعكس التغييرات مع استمرار اقتراح المجتمع بسحب أمواله. كما تلقى كوينتيليغراف مكالمة استغاثة من أحد مطوري مجتمع تورنادو كاش الذي أكد التطورات المذكورة أعلاه ، قائلاً:

"كان هناك هجوم على البروتوكول هذا الصباح وأنت تعرف عنه بالفعل. طوال اليوم ، فكرت أنا ومطور مجتمع آخر في ما يجب فعله ، لكن الوضع قريب من ميؤوس منه - يتحكم المهاجم حاليًا في الحوكمة ".

يبحث الفريق حاليًا عن مطوري Solidity يمكنهم المساعدة في حفظ البروتوكول من الانقراض. كما ذكروا أيضًا أننا "نحتاج إلى الاتصال بـ Binance - يحتوي هذا التبادل على رموز أكثر من المهاجم".

هذا الموضوع ذو علاقة بـ: يقدم Allbridge مكافأة لاستغلال من سرق 573 ألف دولار في هجوم قرض سريع

يقال إن مطور Tornado Cash السابق يعمل على بناء خدمة خلط تشفير جديدة من البداية ، والتي تعالج "العيب الخطير" الموجود في Tornado Cash.

1 / لقد أصلحنا تضمين التغريدة ؟؟؟؟

v0 من https://t.co/Nt4b2Tgx1D يعيش على تضمين التغريدة

اختبر العرض التوضيحي ، ولكن يرجى ملاحظة ما يلي:
- هذا كود تجريبي
- لم يتم تدقيقها
- الإعداد الموثوق به غير موثوق به

قراءة القصة الكاملة حالاhttps://t.co/9nAU3RrgpN

- أمين سليماني (ameensol) 4 آذار، 2023

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
• المصدر https://cointelegraph.com/news/attacker-hijacks-tornado-cash-governance-via-malicious-proposal