זמן קריאה: 3 דקות
מזומן טורנדו צץ לאחרונה בחדשות הפריצה של Web3, שם האקרים משתמשים בהם כדי לנתב את המזומנים שנבזזו. הפריצות והנתונים הקשורים הם פרופורציונליים לתוקפים הממנפים מזומן טורנדו להעברת כספים, מבלי להשאיר עקבות.
משרד האוצר האמריקני אסר על השימוש בו בעקבות 7 מיליארד דולר בקריפטו גנובים שהלבינו לכאורה באמצעות Tornado Cash מאז השקתו ב-2017, מה שהביא אותנו לנתח מזומנים של Tornado בבלוג הזה.
מה זה טורנדו קאש?
Tornado cash הוא Dapp בקוד פתוח שנבנה על רשת Ethereum המאפשר ביצוע עסקאות פרטיות ברשת Ethereum ציבורית. מזומן Tornado התומך בפרטיות משנה את זהות המשתמש המבצע עסקאות.
כך היא שומרת על אנונימיות העסקאות על ידי ניתוק הקשר בין הגורם/אדם המעביר כספים לכתובת המקבלת. בואו לגלות איך זה עובד.
איך זה עובד?
Tornado cash מעסיקה חוזה מיקסר שניתן להבין טוב יותר את פעולתו על ידי התייחסות למערבל מיץ שבו כל התכולה הכלולה מתערבבת בצנצנת.
כמו כן, הכספים נשלחים לחוזה מיקסר טורנדו ומתווספים לבריכות. הוא משתמש במערכות הוכחה אפס ידע כדי להסתיר את זהויות השולח וכתובת המקבל.
בהיותם מבוזרים באמת ואינם משמורנים באופיים, המשתמשים הם בשליטה מלאה על הכספים. כמו כן, עיצוב המזומנים של Tornado הוא שסכום עמלה מוגדר על כל עסקה עובר לפעולה.
ההיגיון שמאחורי פעולתו
מכיוון שהיא פועלת ברשת Ethereum, Tornado cash משתמש בתקן ERC-20 token. כפי שצוין קודם לכן, הוא עוקב אחר הוכחת ידע אפס (ZKP) שבאמצעותה ניתן להבטיח את פרטיות העסקאות שכן היא אינה דורשת חשיפת סיסמאות סודיות לצורך אימות.
אחרי שאמרתי את זה, טורנדו מזומן שעובד של ZKP די מסביר את ההיגיון מאחורי זה. זה דורש התקנת ארנק, אשר לאחר מכן מחובר למזומן Tornado. לאחר מכן, המשתמשים יכולים להפקיד את הסכום שהם מוכנים להעביר במזומן Tornado.
ברגע שההפקדה מצליחה, מזומן טורנדו מייצר פתק פרטי כ-hash סודי. כעת, שמירה של מפתח זה חשובה שכן יש להזין אותו לצורך משיכת הכספים על ידי הכונס.
לאחר מכן מערבבים את המזומנים בבריכה, ויש זמן המתנה בין ההפקדה לבין משיכת הכספים. לאחר מכן, הכונס יכול להזין את ההערה הפרטית שנוצרה כדי לאשר את העסקה.
לאורך כל התהליך, טורנדו מזומן מבטיח שלא יהיו נתונים על השרשרת שמקשרים בין השולח למקבל, ובכך נשארים אנונימיים לחלוטין.
יתר על כן, הפלטפורמה המבוזרת מאמצת TORN, ממשל ואסימוני שירות. כל ההחלטות לגבי המצע נותרות להצבעה על סמך מחזיקי האסימון של TORN.
Tornado Cash - מצמד להאקרים
דוחות כספים ציינו כי התרחשו יותר מ-10 מיליארד דולר במזומן טורנדו. כמו כן, מספר עולה של האקרים מנצלים את הפלטפורמה כדי לבצע העברות כספים לא חוקיות.
הפרטיות בעסקאות מהווה בסיס אידיאלי להאקרים להעביר את מיליוני הנכסים שנגנבו תוך הישארות אנונימית. ומספרים שזרימת המזומנים לבריכה גדלה לאחר מתקפת רשת רונין של Axie Infinity.
הנה אזכור של כמה פריצות שבהן ההאקרים השתמשו במזומן טורנדו כדי לבצע העברות כספים.
פריצת גשר רונין בשווי 622 מיליון דולר קרה בגלל פשרה של מפתח פרטי שבה נמצאו הנכסים הגנובים כדי להשתמש במזומן טורנדו. מלבד התקפת חור תולעת של 375 מיליון דולר ופריצה לגשר Horizon של 100 מיליון דולר, השתמשו גם במזומן של טורנדו.
האם איסור המזומנים של טורנדו הוא מהלך ראוי לשבח?
למרות המהלך של ה האוצר האמריקאי לאסור על מזומן טורנדו היה להגביל את אמצעי הפריצה, הרבה ממשקיעים לגיטימיים רגילים נשללים מההטבות. משתמשים שרוצים לשמור על פרטיותם בעסקאות בשוק הקריפטו המתהווה עדיין מוצאים את זה לא בנוח.
השג את האבטחה של פרויקט ה-Web3 שלך עם QuillAudits
QuillAudits תורם את תרומתה הפעילה להפיכת Web3 למקום בטוח יותר. המומחים שלנו זמינים לשירותכם לכל ייעוץ בנושא אבטחת ה-Web3 שלך פרויקטים והבטחת חוסנו.
138 צפיות
