去中心化加密貨幣混合平台Tornado Cash 最近在其治理上遭受了重大攻擊。一項惡意提議最近顛覆了其治理系統,使威脅參與者能夠完全控制協議。
威脅行為者在5 月20 日成功地將120 萬票轉移到具有欺騙意圖的提案。該倡議獲得了超過700,000 張合法選票,使攻擊者能夠完全控制Tornado Cash 治理。以研究為導向的技術投資公司Paradigm 的研究員@samczsun 強調了這一事件。
在世界標準時間2023/05/20 07:25:11,Tornado Cash 治理實際上已不復存在。通過惡意提議,攻擊者授予自己1,200,000 票。由於這超過了約700,000 張合法選票,他們現在擁有完全控制權。 https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
– @samczsun.com (@samczsun) 2023 年5 月20 日
攻擊者聲稱他們的提案採用了類似於先前批准的社區提案的邏輯。然而,它隱藏了一個陰險的功能。一旦獲得批准,攻擊者就會利用治理合約上的emergencyStop 功能修改提案邏輯,給自己偽造的選票。
有了完全控制權,攻擊者現在可以撤回所有鎖定的選票,從治理合約中耗盡代幣,並有效地“堵住”鏈上路由器。 @samczsun 關於此事的最新推文表明,攻擊者已經撤回了10,000 票作為TORN 代幣並清算。
這有力地強調了對提案描述和邏輯進行認真審查和適當審查的必要性。一位化名為Tornadosaurus-Hex 的Tornado Cash 社區成員證實了所有治理基金可能受到損害,並敦促成員撤回所有鎖定的資金。
Tornado Cash 的團隊現在正在積極尋找可以幫助保護協議免受進一步破壞的Solidity 開發人員。他們還表示有必要與幣安進行對話,因為該交易所持有的代幣比威脅者多,並且可能能夠幫助逆轉通過漏洞利用實現的功能。
Tornado Cash 案最近得到了主要加密貨幣政策和倡導團體的支持。區塊鏈協會和DeFi 教育基金聯合提交了一份法庭之友簡報,支持原告針對美國財政部提出的部分簡易判決動議。
去年,美國財政部製裁了Tornado Cash,聲稱它協助朝鮮黑客組織Lazarus Group 轉移了從各種攻擊中獲得的價值約70 億美元的資金。臭名昭著的Lazarus Group 在加密貨幣領域因竊取著名的DeFi 協議而臭名昭著。這一指控導致Tornado Cash 的創建者Alexy Pertsev 在8 月因洗錢指控被捕,引發了公眾的強烈抗議。
為了報復這些廣泛存在的漏洞,美國財政部外國資產控制辦公室(OFAC) 對Tornado Cash 實施了製裁,將據稱與混合器有關的地址列入其特別指定的國民和封鎖人員名單。因此,美國人與這些地址進行互動是非法的,將面臨巨額罰款和監禁的威脅。
$TORN 代幣數據,2023 年5 月21 日。 9:00 UTC // 來源:CoinMarketCap
CoinMarketCap 的數據顯示,隨著這些發展,Tornado Cash 的活動顯著減少,在過去24 小時內,交易量每小時平均下跌40%。據報導,大約10,000 個TORN 代幣的損失已追溯到威脅行為者的活動。這一事件的後果強調了去中心化協議中嚴格的代碼檢查和強大的社區治理的重要性。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載