In een reeks gebeurtenissen die alleen in crypto kan gebeuren, stelt de hacker die Tornado Cash uitbuitte, een protocol dat privé-cryptocurrency-transacties mogelijk maakt, voor om de aanval te patchen waardoor ze een equivalent van ongeveer $ 1 miljoen aan tokens konden leegmaken.
Op vrijdag stal de hacker daarna meer dan $ 1 miljoen aan activa van het protocol verbergen kwaadaardig code in een bestuursvoorstel dat onopgemerkt bleef door de gemeenschap. Twee dagen later stelde de hacker voor om die aanval te patchen.
De stemming is gepland voor vrijdagavond of zaterdagochtend vroeg, maar er is geen garantie dat het voorstel zal worden uitgevoerd. Gebruikers kunnen nog steeds geld opnemen van het protocol.
Het incident benadrukt de kwetsbaarheid van op tokens gebaseerd bestuur wanneer de gemeenschap van een web3-project er niet in slaagt om nieuw voorgestelde bestuursmaatregelen met een fijne kam te onderzoeken. Het verhaal is zo oud als DAO's, met De DAO, het eerste experiment in gedecentraliseerde organisaties op Ethereum, leed een catastrofale hack van $ 150 miljoen in 2016 toen een hacker onbedoelde kwetsbaarheden in de code van het project uitbuitte.
TORN duikt
De prijs van TORN, het oorspronkelijke token van Tornado Cash, is in 7.5 uur met 24% gedaald na een rally van 10% op zondag, nadat de hacker de oplossing had voorgesteld. TORN blijft echter 32% lager sinds het weekend begon.
De daling komt na een duik van 85% sinds augustus 2022, toen het Amerikaanse ministerie van Financiën de ongekende stap nam van sanctionering zijn code. Het protocol is toegevoegd aan de lijst van Specially Designated Nationals van het bureau, waardoor het voor inwoners van de VS illegaal is om met het protocol om te gaan.
Cryptomixer
Tornado Cash is een op Ethereum gebaseerd protocol dat is ontworpen om gebruikers on-chain privacy te bieden, ook wel een mixer genoemd.
Het protocol verdoezelt de transactiegeschiedenis van een gebruiker door activa via het protocol naar een nieuw adres te sturen. De overdracht wordt uitgevoerd via een gecompliceerd web van kleinere transacties, waardoor het voor blockchain-speurneuzen moeilijk wordt om de beweging van fondsen die met Tornado Cash zijn verzonden, te ontwarren. Gedecentraliseerde liquiditeitsverschaffers verdienen een vergoeding in ruil voor het verstrekken van kapitaal om de transacties te vergemakkelijken.
Aanval mechanica
De aanval bestond erin dat de hacker een voorstel deed aan het bestuur van Tornado Cash, waar ze een extra functie toevoegden waarmee ze zichzelf 1,200,000 stemmen konden toekennen.
Het aantal frauduleuze stemmen was aanzienlijk groter dan de 700,000 legitieme stemmen die werden uitgegeven aan TORN-stakers, waardoor de hacker bestuursvoorstellen naar eigen goeddunken kon uitvoeren en toegang kon krijgen tot de fondsen in het bestuurscontract.
Van daaruit konden ze 100,000 TORN-tokens en 360 ETH opnemen, waarmee ze ongeveer $ 1 miljoen aan gestolen geld opstapelden. Ironisch genoeg, de hacker gebruikt Tornado Cash om de bestemming van 360 ETH te verdoezelen die ze hebben verkregen door gestolen TORN-tokens te verkopen.
Afzonderlijk loopt er nog eens $ 1 miljoen gevaar in Tornado Cash Nova, een Gnosis Chain-gebaseerde inzet van het protocol. Het zou zeven dagen duren om een voorstel uit te voeren dat dat contract leegmaakt, dus gebruikers met geld daar hebben nog tijd om geld op te nemen.
De aanval omkeren
En er is een nog helderder sprankje hoop - op zondag Tornadosaurus-Hex, een lid van de Tornado Cash-gemeenschap, markeerde dat de aanvaller een voorstel lanceerde om hun stemrecht terug te zetten van 1.2 miljoen naar 0. Door deze stap zouden ze afstand doen van hun controle over het beheer van het protocol.
De hacker heeft nog steeds de volledige controle over de stemmen op dit voorstel, dat rond 26 mei zal worden goedgekeurd of afgewezen en heeft momenteel 517 stemmen voor, aldus Twitter-gebruiker, 0xdoodf4ce.
"Of ze zijn giga aan het trollen, of het wordt een dure maar niet desastreuze les in bestuursbeveiliging", zeiden ze.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://thedefiant.io/hackers-steal-usd1m-from-tornado-cash
- : heeft
- :is
- :niet
- :waar
- $UP
- 000
- 1
- 100
- 200
- 2016
- 2022
- 24
- 26%
- 7
- a
- in staat
- Over
- toegang
- Volgens
- toegevoegd
- adres
- Na
- Het toestaan
- an
- en
- Nog een
- goedgekeurd
- ZIJN
- rond
- AS
- Activa
- At
- aanvallen
- Augustus
- BE
- begon
- wezen
- blockchain
- helderder
- maar
- by
- CAN
- hoofdstad
- Contant geld
- katastrofisch
- Sluiten
- code
- komt
- gemeenschap
- ingewikkeld
- contract
- onder controle te houden
- crypto
- cryptogeld
- Op dit moment
- DAO's
- dagen
- gedecentraliseerde
- afdeling
- aangewezen
- ontworpen
- bestemming
- moeilijk
- noodlottig
- beneden
- draineren
- aandrijving
- Val
- Vroeg
- verdienen
- beide
- maakt
- einde
- Gelijkwaardig
- ETH
- ethereum
- Op basis van Ethereum
- Zelfs
- EVENTS
- onderzoeken
- uitwisseling
- uitvoeren
- duur
- experiment
- Exploited
- extra
- vergemakkelijken
- mislukt
- Favor
- honorarium
- Voornaam*
- Bepalen
- Voor
- frauduleus
- vrijdag
- oppompen van
- vol
- functie
- fondsen
- Jig
- Gnosis
- bestuur
- governance voorstel
- toe te kennen
- garantie
- houwen
- hacker
- Hackers
- hackers stelen
- gebeuren
- Held
- highlights
- geschiedenis
- hoop
- HOURS
- Echter
- HTTPS
- Onwettig
- in
- incident
- interactie
- ironisch
- Uitgegeven
- IT
- HAAR
- jpg
- bekend
- later
- gelanceerd
- rechtmatig
- les
- Liquiditeit
- liquiditeitsverschaffers
- Lijst
- maken
- Mei..
- maatregelen
- lid
- menger
- meer
- Ochtend
- beweging
- beweging
- inheemse
- Native token
- New
- nacht
- geen
- verkregen
- of
- bieden
- Oud
- on
- Aan de ketting
- Slechts
- or
- organisaties
- over
- Patch
- Plato
- Plato gegevensintelligentie
- PlatoData
- duik
- energie
- prijs
- privacy
- privaat
- project
- projecten
- voorstel
- voorstellen
- voorstellen
- voorgestelde
- protocol
- protocollen
- providers
- het verstrekken van
- verzameling
- RE
- stoffelijk overschot
- bewoners
- Risico
- s
- Zei
- zaterdag
- gepland
- veiligheid
- binnen XNUMX minuten
- verzending
- verzonden
- zeven
- aanzienlijk
- sinds
- kleinere
- So
- speciaal
- stapelen
- stapelaars
- Still
- stola
- gestolen
- gestolen geld
- zieken
- Nemen
- overnemen
- verhaal
- neem contact
- dat
- De
- hun
- Ze
- zich
- harte
- Er.
- ze
- dit
- Door
- niet de tijd of
- naar
- teken
- tokens
- nam
- gescheurd
- tornado
- TornadoCash
- transactie
- Transacties
- overdracht
- schatkist
- Treasury Department
- trolling
- BEURT
- X
- twee
- ons
- Amerikaanse schatkist
- ons treasury-departement
- zonder precedent
- Gebruiker
- gebruikers
- gebruik
- via
- stemmen
- Stemming
- kwetsbaarheden
- kwetsbaarheid
- was
- web
- Web3
- web3-project
- weekend
- gegaan
- waren
- wanneer
- welke
- WIE
- wil
- Met
- intrekken
- zou
- zephyrnet
