مهاجم از طریق پیشنهادی مخرب، حاکمیت تورنادو کش را تصاحب می کند


کنترل کامل بر مدیریت Tornado Cash به مهاجم این امکان را می دهد که تمام آرای قفل شده را پس بگیرد، تمام توکن ها را در قرارداد مدیریت تخلیه کند و روتر را آجر کند.

علاوه بر موانع موجود در میکسر غیرمتمرکز کریپتو تورنادو کش، یک مهاجم با یک پیشنهاد مخرب کنترل کامل مدیریت را در دست گرفت.

در 20 می در ساعت 3:25 ET، یک مهاجم با موفقیت 1.2 میلیون رای به یک پیشنهاد مخرب داد. با توجه به اینکه این پیشنهاد بیش از 700000 رای قانونی دریافت کرد، مهاجم کنترل کاملی بر مدیریت Tornado Cash به دست آورد.

این اطلاعات توسط @samczsun از شرکت سرمایه‌گذاری فناوری پژوهش محور Paradigm به اشتراک گذاشته شد، که ادعا کرد مهاجم از منطقی مشابه پیشنهادی که قبلاً توسط جامعه پذیرفته شده بود هنگام ارسال پیشنهاد مخرب استفاده کرده است. اما این بار این پیشنهاد یک کارکرد اضافی داشت.

همانطور که توسط @samczsun توضیح داده شده است:

پس از اینکه پیشنهاد توسط رای دهندگان پذیرفته شد، مهاجم از عملکرد توقف اضطراری برای به روز رسانی منطق پیشنهاد استفاده کرد تا به آنها رای نادرست بدهد.

کنترل کامل بر مدیریت Tornado Cash به مهاجم این امکان را می دهد که تمام آرای قفل شده را پس بگیرد، تمام توکن ها را در قرارداد مدیریت تخلیه کند و روتر را آجر کند. @samczsun، در زمان نوشتن این پست، “به سادگی 10000 رای را به عنوان TORN پس گرفت و همه آنها را فروخت”.
این حمله به عنوان یادآوری به سرمایه‌گذاران ارزهای دیجیتال برای بررسی توضیحات و منطق پیشنهادات است. یک انجمن فعال Tornado Cash، معروف به Tornadosaurus-Hex یا Mr. Tornadosaurus Hex، تأیید کرده است که تمام سرمایه‌های موجود در Governance به طور بالقوه در خطر است و از همه اعضا خواسته است که تمام سرمایه‌های قفل شده در حاکمیت را پس بگیرند.

همانطور که در بالا نشان داده شد، آنها سعی کردند قراردادی را اجرا کنند که به طور بالقوه می تواند تغییرات را خنثی کند، در حالی که همچنان به جامعه توصیه می کردند وجوه خود را برداشت کنند. کوین تلگراف همچنین به یک تماس مضطرب از سوی یکی از توسعه دهندگان انجمن Tornado Cash برخورد کرد که پیشرفت های فوق را تأیید می کرد:

“امروز صبح حمله‌ای به پروتکلی صورت گرفت که شما قبلاً می‌دانید. تمام روز، یک توسعه‌دهنده انجمن دیگر و من به این فکر می‌کردیم که چه کنیم، اما وضعیت تقریباً ناامید است – در حال حاضر مهاجم کنترل Governance را در دست دارد.”
تیم در حال حاضر به دنبال توسعه دهندگان Solidity هستند که بتوانند به نجات پروتکل از انقراض کمک کنند. آنها همچنین گفتند: “ما باید با Binance تماس بگیریم – توکن های بیشتری در این صرافی نسبت به مهاجم وجود دارد.”

مطالب مرتبط: آلبریج به سوء استفاده کننده ای که 573000 دلار را در حمله اعتباری فلش دزدیده بود جایزه می دهد.

گزارش‌ها حاکی از آن است که یک توسعه‌دهنده سابق Tornado Cash در حال تلاش برای ایجاد یک سرویس ترکیبی رمزنگاری جدید از پایه است که یک «نقص حیاتی» موجود در Tornado Cash را برطرف می‌کند.

توسعه دهنده امیدوار است که این راه حل “جامعه را برای دفاع در برابر هکرهایی که از مجموعه ناشناس بودن کاربران صادق سوء استفاده می کنند بدون نیاز به مقررات عمومی یا به خطر انداختن ایده آل های رمزنگاری آنها” قدرت دهد.

مجله: “مسئولیت اخلاقی”: آیا بلاک چین واقعاً می تواند اعتماد به هوش مصنوعی را افزایش دهد؟




نویسنده: Arijit Sarkar

اشتراک گذاری و حمایت

امیر کرمی

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید