臭名昭著的加密貨幣混合器Tornado Cash 再次遭遇挫折,因為攻擊者設法通過惡意提議完全控制了該平台的治理。
據報導,加密貨幣投資公司Paradigm 的安全研究員Samczsun 在推特上透露,一名攻擊者周六給了自己120 萬張假選票。由於虛假選票超過了700,000 張合法選票,這使得攻擊者能夠完全控制Tornado Cash 的治理。
在完全控制Tornado Cash 治理的情況下,攻擊者以TORN 身份撤回了10,000 張選票,隨後將其出售以謀取私利。對於未知的Tornado Cash 代幣(TORN) 是加密貨幣混合器的治理代幣。
在世界標準時間2023/05/20 07:25:11,Tornado Cash 治理實際上已不復存在。通過惡意提議,攻擊者授予自己1,200,000 票。由於這超過了約700,000 張合法選票,他們現在擁有完全控制權。 https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
– @samczsun.com (@samczsun) 2023 年5 月20 日
黑客提交撤消攻擊的提案
作為對此次攻擊的回應,Tornado Cash 的活躍社區成員Tornadosaurus-Hex 證實,治理系統內的所有資金都可能受到威脅。他們敦促所有成員從治理中撤回鎖定的資金,以保護他們的資產。然而,在攻擊發生後不久,與最近攻擊相關聯的錢包地址提交了一份提案,建議撤銷惡意更改。
Tornadosaurus-Hex 在Tornado Cash 社區論壇中寫道,“攻擊者發布了一項恢復治理狀態的新提案”,並補充說攻擊者“很有可能”執行該提案。該用戶聲稱攻擊者正在將被劫持的TORN 代幣還原為零,這使他們獲得了治理投票的控制權。
當提案通過時,攻擊者集成到協議中的惡意代碼(允許他們竊取他人的投票權)將被刪除,Tornado Cash 的DAO 的治理權將交還給代幣持有者。
Tornado Cash 的長期問題
消息傳出後,TORN 在過去24 小時內上漲6.22%,收於4.62 美元。然而,由於最近的劫持,該代幣在過去7 天裡仍然承受著巨大的壓力。與此同時,TORN社區的活躍成員0xdeadf4ce指出,這可能都是一個壓低代幣價格以打折增持的“巨無霸”。
TornadoCash 攻擊者部署了新提案,如果執行,似乎可以恢復對治理功能造成的損害。他們要么是giga trolling,要么最終會成為治理安全方面的昂貴但並非災難性的教訓。 https://t.co/QMWYFsi8kP
– 0xdeadf4ce (@0xdface) 2023 年5 月21 日
去中心化貨幣混合器於2022 年8 月8 日受到美國財政部外國資產控制辦公室(OFAC) 的製裁,原因是自2019 年以來允許黑客洗錢近70 億美元的加密貨幣。據美國財政部稱,Tornado Cash 曾是Lazarus Group 的關鍵工具,Lazarus Group 是一個朝鮮黑客組織,與2022 年3 月Axie Infinity 的Ronin Network 價值6.25 億美元的黑客攻擊有關。
資訊來源:由0x資訊編譯自CRYPTO-ECONOMY。版權歸原作者所有,未經許可,不得轉載