با افزودن به موانع موجود در میکسر غیرمتمرکز کریپتو تورنادو کش، یک مهاجم توانست کنترل کامل حاکمیت را از طریق یک پیشنهاد مخرب به دست آورد.
در 20 می در ساعت 3:25 ET، یک مهاجم با موفقیت 1.2 میلیون رای به یک پیشنهاد مخرب داد. با توجه به اینکه این پیشنهاد بیش از 700,000 رای قانونی دریافت کرد، مهاجم کنترل کامل حاکمیت Tornado Cash را به دست آورد.
در 2023/05/20 در ساعت 07:25:11 UTC، حاکمیت تورنادو Cash عملاً وجود نداشت. از طریق یک پیشنهاد مخرب، یک مهاجم به خود 1,200,000 رای داد. از آنجایی که این بیش از 700,000 رای مشروع است، اکنون آنها کنترل کامل دارند.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) ممکن است 20، 2023
این اطلاعات توسط @samczsun از شرکت سرمایهگذاری فناوری پژوهش محور Paradigm به اشتراک گذاشته شد، که فاش کرد که هنگام اشتراکگذاری پیشنهاد مخرب، مهاجم ادعا کرد که از منطقی مشابه پیشنهادی استفاده میکند که قبلاً توسط جامعه تصویب شده بود. با این حال، این بار، این پیشنهاد یک کارکرد اضافی داشت.
همانطور که توسط @samczsun توضیح داده شده است:
هنگامی که این پیشنهاد توسط رأی دهندگان تصویب شد، مهاجم به سادگی از عملکرد اضطراری توقف برای به روز رسانی منطق پیشنهاد استفاده کرد تا به خود رأی جعلی بدهد.»
کنترل کامل بر حاکمیت Tornado Cash به مهاجم این امکان را می دهد که تمام آرای قفل شده را پس بگیرد، تمام نشانه های قرارداد حاکمیتی را تخلیه کند و روتر را آجر کند. @samczsun گفت: در زمان نوشتن این مقاله، مهاجم "به سادگی 10,000 رای را به عنوان TORN پس گرفت و همه را فروخت."
این حمله به عنوان یادآوری به سرمایه گذاران ارزهای دیجیتال است تا توضیحات و منطق پیشنهادات را بررسی کنند. یک جامعه فعال از Tornado Cash، که با نام Tornadosaurus-Hex یا Mr. Tornadosaurus Hex شناخته میشود، تأیید کرد که تمام سرمایههای موجود در Governance به طور بالقوه به خطر افتاده است و از همه اعضا درخواست کرد که تمام سرمایههای قفل شده در حاکمیت را پس بگیرند.
همانطور که در بالا نشان داده شد، آنها همچنین سعی کردند قراردادی را به کار گیرند که به طور بالقوه می تواند تغییرات را بازگرداند و در عین حال همچنان به جامعه پیشنهاد می کند که وجوه خود را برداشت کند. کوین تلگراف همچنین با یک تماس مضطرب از سوی یکی از توسعه دهندگان انجمن تورنادو کش مواجه شد که تحولات فوق را تأیید کرد و اظهار داشت:
«امروز صبح حملهای به پروتکل صورت گرفت که شما قبلاً از آن مطلع هستید. تمام روز، یک توسعهدهنده انجمن دیگر و من به این فکر میکردیم که چه کار کنیم، اما وضعیت تقریباً ناامیدکننده است - در حال حاضر مهاجم کنترل Governance را در دست دارد.
این تیم در حال حاضر در جستجوی توسعه دهندگان Solidity هستند که بتوانند به نجات پروتکل از انقراض کمک کنند. آنها علاوه بر این اظهار داشتند که "ما به تماس با Binance نیاز داریم - این صرافی توکن های بیشتری نسبت به مهاجم دارد."
مرتبط: آلبریج به بهرهبردارانی که 573 هزار دلار را در حمله وامهای فوری به سرقت برده، جایزه میدهد
گزارش شده است که یک توسعهدهنده سابق Tornado Cash در حال کار بر روی ساخت یک سرویس ترکیبی کریپتو جدید از ابتدا است که «نقص حیاتی» موجود در Tornado Cash را برطرف میکند.
1/ رفع کردیم tornadocash ؟؟؟؟
v0 از https://t.co/Nt4b2Tgx1D زنده است @optimismFND
نسخه ی نمایشی را تست کنید، اما لطفا توجه داشته باشید:
- این کد آزمایشی است
- حسابرسی نشده است
- تنظیم مورد اعتماد غیرقابل اعتماد استداستان کامل را آنون بخوانید 🧵👇https://t.co/9nAU3RrgpN
— آمین سلیمانی (@ameensol) مارس 4، 2023
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://cointelegraph.com/news/attacker-hijacks-tornado-cash-governance-via-malicious-proposal
- : دارد
- :است
- :نه
- 000
- 1
- 10
- 11
- 20
- 200
- 7
- 9
- a
- درباره ما
- بالاتر
- در میان
- فعال
- اضافی
- علاوه بر این
- آدرس
- معرفی
- اجازه می دهد تا
- قبلا
- همچنین
- an
- و
- دیگر
- هستند
- AS
- At
- حمله
- تلاش
- بوده
- بنیان
- بخشش
- بنا
- اما
- by
- صدا
- آمد
- CAN
- پول دادن و سكس - پول دادن و كس كردن
- تبادل
- ادعا کرد که
- نزدیک
- Cointelegraph
- COM
- می آید
- انجمن
- در معرض خطر
- تایید شده
- تماس
- قرارداد
- کنترل
- گروه شاهد
- میتوانست
- عضو سازمانهای سری ومخفی
- سرمایه گذاران رمزنگاری
- میکسر کریپتو
- در حال حاضر
- روز
- غیر متمرکز
- استقرار
- توسعه دهنده
- توسعه دهندگان
- تحولات
- پریشانی
- do
- اب کشیدن از
- E&T
- به طور موثر
- تبادل
- وجود داشته باشد
- موجود
- توضیح داده شده
- انقراض
- جعلی
- شرکت
- ثابت
- فلاش
- سابق
- از جانب
- کامل
- تابع
- بودجه
- افزایش
- داده
- می رود
- حکومت
- اعطا کردن
- اعطا شده
- بود
- آیا
- کمک
- HEX
- اما
- HTTPS
- i
- in
- اطلاعات
- سرمایه گذاری
- سرمایه گذاران
- IT
- دانستن
- قانونی
- زنده
- وام
- قفل شده
- منطق
- اداره می شود
- ممکن است..
- اعضا
- میلیون
- مخلوط کن
- خلط
- بیش
- صبح
- mr
- نام
- نیاز
- جدید
- رمزارز جدید
- اکنون
- of
- پیشنهادات
- on
- ONE
- or
- خارج
- روی
- نمونه
- گذشت
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- بالقوه
- قبلا
- طرح پیشنهادی
- پروتکل
- اخذ شده
- نشان داد
- برگرداندن
- جاده ها
- روتر
- سعید
- ذخیره
- خراش
- جستجو
- سرویس
- برپایی
- به اشتراک گذاشته شده
- اشتراک
- نشان داده شده
- مشابه
- به سادگی
- وضعیت
- فروخته شده
- استحکام
- اظهار داشت:
- هنوز
- دزدیده شد
- داستان
- موفقیت
- تیم
- پیشرفته
- نسبت به
- که
- La
- شان
- خودشان
- آنها
- این
- فکر
- از طریق
- زمان
- به
- نشانه
- پاره شده
- گردباد
- تورنادو نقدی
- جمع
- مورد اعتماد
- توییتر
- بروزرسانی
- استفاده
- ساعت محلی UTC تنظیم شده اند
- آموزش و پرورش
- از طريق
- رای دهندگان
- رای
- بود
- we
- چی
- چه زمانی
- که
- در حین
- WHO
- با
- برداشت
- کارگر
- نوشته
- شما
- زفیرنت