Hackere stjæler $1 mio. fra Tornado Cash, og foreslår derefter at rette op på regeringsovertagelsen

I en vending af begivenheder, der kun kan ske i krypto, foreslår hackeren, der udnyttede Tornado Cash, en protokol, der muliggør private kryptovalutatransaktioner, at lappe angrebet, der gjorde det muligt for dem at dræne hvad der svarer til omkring $1M i tokens.

I fredags stjal hackeren mere end $1 mio. i aktiver fra protokollen efter skjule ondsindet kode i et regeringsforslag, som ikke blev opdaget af samfundet. To dage senere foreslog hackeren at lappe angrebet.

Afstemningen er planlagt tæt på enten fredag ​​aften eller tidligt lørdag morgen, men der er ingen garanti for, at forslaget bliver gennemført. Brugere kan stadig hæve penge fra protokollen.

Hændelsen fremhæver sårbarheden ved token-baseret styring, når fællesskabet i et web3-projekt undlader at undersøge nyligt foreslåede styringsforanstaltninger med en fintandskam. Fortællingen er lige så gammel som DAO'er, med DAO, det første eksperiment i decentraliserede organisationer på Ethereum, der led et katastrofalt hack på $150 millioner i 2016, da en hacker udnyttede utilsigtede sårbarheder i projektets kode.

TORN dykker

Prisen på TORN, Tornado Cashs oprindelige token, er faldet 7.5 % på 24 timer efter at have kørt et 10 % rally i søndags, efter at hackeren foreslog rettelsen. TORN er dog fortsat faldet med 32% siden weekendens begyndelse.

Faldet kommer efter et dyk på 85 % siden august 2022, hvor det amerikanske finansministerium tog det hidtil usete skridt af sanktionering dens kode. Protokollen blev føjet til agenturets liste over Specially Designated Nationals, hvilket gør det ulovligt for amerikanske indbyggere at interagere med protokollen.

Krypto mixer

Tornado Cash er en Ethereum-baseret protokol designet til at tilbyde brugere on-chain privatliv, kendt som en mixer.

Protokollen slører en brugers transaktionshistorik ved at sende aktiver via protokollen til en ny adresse. Overførslen udføres gennem et kompliceret net af mindre transaktioner, hvilket gør det vanskeligt for blockchain-udøvere at løse bevægelsen af ​​penge, der sendes ved hjælp af Tornado Cash. Decentraliserede likviditetsudbydere tjener et gebyr i bytte for at stille kapital til rådighed for at lette transaktionerne.

Angrebsmekanik

Angrebet bestod i, at hackeren fremsatte et forslag til Tornado Cash governance, hvor de tilføjede en ekstra funktion, der tillod dem at give sig selv 1,200,000 stemmer.

De svigagtige stemmer overgik markant de 700,000 legitime stemmer, der blev udstedt til TORN-aktører, hvilket gjorde det muligt for hackeren at udføre regeringsforslag efter indfald og få adgang til de midler, der er indeholdt i regeringskontrakten.

Derfra var de i stand til at trække 100,000 TORN-tokens og 360 ETH tilbage, og stablede omkring $1M i stjålne midler. Ironisk nok hackeren anvendte Tornado Cash for at skjule destinationen for 360 ETH, de opnåede ved at sælge stjålne TORN-tokens.

Separat er der yderligere $1M i fare i Tornado Cash Nova, en Gnosis Chain-baseret implementering af protokollen. Det ville tage syv dage at eksekvere et forslag, der dræner den kontrakt, så brugere med midler der stadig er i tide til at trække sig.

At vende angrebet

Og der er et endnu lysere glimt af håb – på søndag Tornadosaurus-Hex, medlem af Tornado Cash-fællesskabet, Markeret at angriberen lancerede et forslag, der ville nulstille deres stemmestyrke fra 1.2 mio. til 0. Tiltaget ville opgive deres kontrol over protokollens styring.

Hackeren har stadig fuld kontrol over afstemninger om dette forslag, som vil blive godkendt eller afvist omkring den 26. maj og i øjeblikket har 517 stemmer for, ifølge Twitter-brugeren, 0xdeadf4ce.

"Enten er de giga-trolling, eller også ender det med at blive en dyr, men ikke katastrofal lektion i Governance-sikkerhed," sagde de.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
• Kilde: https://thedefiant.io/hackers-steal-usd1m-from-tornado-cash