مهاجم مدیریت تورنادو نقدی را از طریق پیشنهاد مخرب ربوده است

با افزودن به موانع موجود در میکسر غیرمتمرکز کریپتو تورنادو کش، یک مهاجم توانست کنترل کامل حاکمیت را از طریق یک پیشنهاد مخرب به دست آورد. 

در 20 می در ساعت 3:25 ET، یک مهاجم با موفقیت 1.2 میلیون رای به یک پیشنهاد مخرب داد. با توجه به اینکه این پیشنهاد بیش از 700,000 رای قانونی دریافت کرد، مهاجم کنترل کامل حاکمیت Tornado Cash را به دست آورد.

در 2023/05/20 در ساعت 07:25:11 UTC، حاکمیت تورنادو Cash عملاً وجود نداشت. از طریق یک پیشنهاد مخرب، یک مهاجم به خود 1,200,000 رای داد. از آنجایی که این بیش از 700,000 رای مشروع است، اکنون آنها کنترل کامل دارند.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz

— @samczsun.com (@samczsun) ممکن است 20، 2023

این اطلاعات توسط @samczsun از شرکت سرمایه‌گذاری فناوری پژوهش محور Paradigm به اشتراک گذاشته شد، که فاش کرد که هنگام اشتراک‌گذاری پیشنهاد مخرب، مهاجم ادعا کرد که از منطقی مشابه پیشنهادی استفاده می‌کند که قبلاً توسط جامعه تصویب شده بود. با این حال، این بار، این پیشنهاد یک کارکرد اضافی داشت. 

همانطور که توسط @samczsun توضیح داده شده است:

هنگامی که این پیشنهاد توسط رأی دهندگان تصویب شد، مهاجم به سادگی از عملکرد اضطراری توقف برای به روز رسانی منطق پیشنهاد استفاده کرد تا به خود رأی جعلی بدهد.»

کنترل کامل بر حاکمیت Tornado Cash به مهاجم این امکان را می دهد که تمام آرای قفل شده را پس بگیرد، تمام نشانه های قرارداد حاکمیتی را تخلیه کند و روتر را آجر کند. @samczsun گفت: در زمان نوشتن این مقاله، مهاجم "به سادگی 10,000 رای را به عنوان TORN پس گرفت و همه را فروخت."

این حمله به عنوان یادآوری به سرمایه گذاران ارزهای دیجیتال است تا توضیحات و منطق پیشنهادات را بررسی کنند. یک جامعه فعال از Tornado Cash، که با نام Tornadosaurus-Hex یا Mr. Tornadosaurus Hex شناخته می‌شود، تأیید کرد که تمام سرمایه‌های موجود در Governance به طور بالقوه به خطر افتاده است و از همه اعضا درخواست کرد که تمام سرمایه‌های قفل شده در حاکمیت را پس بگیرند.

همانطور که در بالا نشان داده شد، آنها همچنین سعی کردند قراردادی را به کار گیرند که به طور بالقوه می تواند تغییرات را بازگرداند و در عین حال همچنان به جامعه پیشنهاد می کند که وجوه خود را برداشت کند. کوین تلگراف همچنین با یک تماس مضطرب از سوی یکی از توسعه دهندگان انجمن تورنادو کش مواجه شد که تحولات فوق را تأیید کرد و اظهار داشت:

«امروز صبح حمله‌ای به پروتکل صورت گرفت که شما قبلاً از آن مطلع هستید. تمام روز، یک توسعه‌دهنده انجمن دیگر و من به این فکر می‌کردیم که چه کار کنیم، اما وضعیت تقریباً ناامیدکننده است - در حال حاضر مهاجم کنترل Governance را در دست دارد.

این تیم در حال حاضر در جستجوی توسعه دهندگان Solidity هستند که بتوانند به نجات پروتکل از انقراض کمک کنند. آنها علاوه بر این اظهار داشتند که "ما به تماس با Binance نیاز داریم - این صرافی توکن های بیشتری نسبت به مهاجم دارد."

مرتبط: آلبریج به بهره‌بردارانی که 573 هزار دلار را در حمله وام‌های فوری به سرقت برده، جایزه می‌دهد

گزارش شده است که یک توسعه‌دهنده سابق Tornado Cash در حال کار بر روی ساخت یک سرویس ترکیبی کریپتو جدید از ابتدا است که «نقص حیاتی» موجود در Tornado Cash را برطرف می‌کند.

1/ رفع کردیم tornadocash ؟؟؟؟

v0 از https://t.co/Nt4b2Tgx1D زنده است @optimismFND

نسخه ی نمایشی را تست کنید، اما لطفا توجه داشته باشید:
- این کد آزمایشی است
- حسابرسی نشده است
- تنظیم مورد اعتماد غیرقابل اعتماد است

داستان کامل را آنون بخوانید 🧵👇https://t.co/9nAU3RrgpN

— آمین سلیمانی (@ameensol) مارس 4، 2023

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
• منبع: https://cointelegraph.com/news/attacker-hijacks-tornado-cash-governance-via-malicious-proposal