Tin tặc đánh cắp 1 triệu đô la từ Tornado Cash, sau đó đề xuất sửa chữa việc tiếp quản quản trị

Trong một loạt các sự kiện chỉ có thể xảy ra trong tiền điện tử, hacker đã khai thác Tornado Cash, một giao thức cho phép các giao dịch tiền điện tử riêng tư, đang đề xuất vá cuộc tấn công cho phép họ rút một lượng token tương đương khoảng 1 triệu đô la.

Vào thứ Sáu, tin tặc đã đánh cắp hơn 1 triệu đô la tài sản từ giao thức sau khi che giấu độc hại mã trong một đề xuất quản trị không bị cộng đồng phát hiện. Hai ngày sau, tin tặc đề xuất vá cuộc tấn công đó.

Việc bỏ phiếu được lên lịch vào tối thứ Sáu hoặc sáng sớm thứ Bảy, tuy nhiên, không có gì đảm bảo rằng đề xuất sẽ được thực hiện. Người dùng vẫn có thể rút tiền từ giao thức.

Vụ việc làm nổi bật lỗ hổng quản trị dựa trên mã thông báo khi cộng đồng của dự án web3 không kiểm tra các biện pháp quản trị mới được đề xuất một cách cẩn thận. Câu chuyện cũ như DAO, với ĐAO, thử nghiệm đầu tiên trong các tổ chức phi tập trung trên Ethereum, đã hứng chịu một vụ hack thảm khốc trị giá 150 triệu đô la vào năm 2016 khi một hacker khai thác các lỗ hổng không chủ ý trong mã của dự án.

TORN Lặn

Giá của TORN, mã thông báo gốc của Tornado Cash, đã giảm 7.5% trong 24 giờ sau khi tăng 10% vào Chủ nhật, sau khi tin tặc đề xuất bản sửa lỗi. Tuy nhiên, TORN vẫn giảm 32% kể từ cuối tuần bắt đầu.

Sự sụt giảm xảy ra sau khi sụt giảm 85% kể từ tháng 2022 năm XNUMX khi Bộ Tài chính Hoa Kỳ thực hiện động thái chưa từng có là xử phạt mã của nó. Giao thức này đã được thêm vào danh sách Công dân được chỉ định đặc biệt của cơ quan, khiến cho cư dân Hoa Kỳ tương tác với giao thức này là bất hợp pháp.

Máy trộn tiền điện tử

Tornado Cash là một giao thức dựa trên Ethereum được thiết kế để cung cấp cho người dùng quyền riêng tư trên chuỗi, được gọi là bộ trộn.

Giao thức làm xáo trộn lịch sử giao dịch của người dùng bằng cách gửi tài sản qua giao thức đến một địa chỉ mới. Việc chuyển tiền được thực hiện thông qua một trang web phức tạp gồm các giao dịch nhỏ hơn, gây khó khăn cho các nhà điều tra chuỗi khối trong việc gỡ rối chuyển động của các khoản tiền được gửi bằng Tornado Cash. Các nhà cung cấp thanh khoản phi tập trung kiếm được một khoản phí để đổi lấy việc cung cấp vốn để tạo thuận lợi cho các giao dịch.

Cơ chế tấn công

Cuộc tấn công bao gồm việc tin tặc đưa ra đề xuất với quản trị Tornado Cash, nơi họ đã thêm một chức năng bổ sung cho phép họ cấp cho mình 1,200,000 phiếu bầu.

Số phiếu gian lận nhiều hơn đáng kể so với 700,000 phiếu bầu hợp pháp được cấp cho những người đặt cược TORN, cho phép tin tặc thực hiện các đề xuất quản trị theo ý thích và truy cập vào số tiền được giữ trong hợp đồng quản trị.

Từ đó, họ có thể rút 100,000 mã thông báo TORN và 360 ETH, thu về khoảng 1 triệu đô la tiền bị đánh cắp. Trớ trêu thay, hacker đã sử dụng Tornado Cash để che giấu đích đến của 360 ETH mà họ có được bằng cách bán mã thông báo TORN bị đánh cắp.

Một cách riêng biệt, có 1 triệu đô la khác gặp rủi ro trong Tornado Cash Nova, một nền tảng dựa trên Gnosis Chain triển khai của giao thức. Sẽ mất bảy ngày để thực hiện một đề xuất rút hợp đồng đó, vì vậy người dùng có tiền vẫn còn thời gian để rút tiền.

Đảo ngược cuộc tấn công

Và thậm chí còn có một tia hy vọng sáng sủa hơn - vào Chủ nhật Tornadosaurus-Hex, một thành viên cộng đồng Tornado Cash, được gắn cờ rằng kẻ tấn công đã đưa ra một đề xuất sẽ đặt lại quyền biểu quyết của họ từ 1.2 triệu thành 0. Động thái này sẽ từ bỏ quyền kiểm soát của họ đối với việc quản trị giao thức.

Hacker vẫn có toàn quyền kiểm soát phiếu bầu cho đề xuất này, sẽ được chấp thuận hoặc từ chối vào khoảng ngày 26 tháng 517 và hiện có XNUMX nghìn phiếu ủng hộ, theo người dùng Twitter, 0xdeadf4ce.

Họ nói: “Hoặc là họ đang chơi khăm hoặc nó sẽ trở thành một bài học đắt giá nhưng không tai hại về an ninh Quản trị.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://thedefiant.io/hackers-steal-usd1m-from-tornado-cash