流行的加密貨幣混合器Tornado Cash 失去了對其治理的完全控制,攻擊者部署了惡意合約以獲取數千票。週末,專注於web3 的投資公司Paradigm 的研究員@samczsun 最先發現了這一事件。
根據samczsun 的推文,攻擊者聲稱使用了與之前通過的提案相同的邏輯來創建他們的惡意提案,但沒有透露他們添加了一個額外的功能。
不過,根據Mixer 社區論壇上的一篇帖子,在最近的發展中,攻擊者“發布了一項恢復治理狀態的新提案”。
TornadoCash 攻擊者部署了新提案,如果執行,似乎可以恢復對治理功能造成的損害。他們要么是giga trolling,要么最終會成為治理安全方面的昂貴但並非災難性的教訓。 https://t.co/QMWYFsi8kP
– 0xdeadf4ce (@0xdface) 2023 年5 月21 日
攻擊者奪取龍成交量風現金治理
在Tornado Cash 選民通過提案後,利用者立即實施了緊急停止功能並更新了提案邏輯,為自己授予了120 萬張假票。攻擊者的合法選票超過700,000,因此他們已經完全控制了加密貨幣混合器的治理。
有了完全的控制權,攻擊者就可以為所欲為,比如撤回所有鎖定的選票,耗盡治理合約中的所有代幣,以及堵塞路由器。但是,它們不能排空單個礦池。
“最後,我們能從中學到什麼? 小心你投票的對象雖然我們都知道提案描述可能會說謊,但提案邏輯也可能會說謊如果你依賴經過驗證的源代碼來保持不變,請確保合約沒有自毀能力,”samczsun 警告說。
超過210 萬美元的TORN 代幣被盜
根據Web3 媒體集團@WhaleCoinTalk 的一條推文,在獲得Tornado Cash 的合約後不久,攻擊者從治理合約中抽走了473,000 TORN——混合器的原生代幣——價值超過210 萬美元。作惡者在鏈上出售資產並將利潤存入Tornado。
Tornado Cash 社區的活躍成員Tornadosaurus-Hex 證實,此次攻擊已經損害了治理中的所有資金,並要求所有成員提取他們鎖定在合約中的資產。
在敦促用戶提取資金的同時,Tornadosaurus-Hex 還嘗試部署可以恢復更改的合約。
“一個可能可行的攻擊解決方案是直接恢復攻擊者對合約所做的狀態更改。 因此,我已經部署了一個合約,它應該能夠做到這一點……請查看並在可能的情況下提出建議。 讓我們看看我們能否通過,否則我會說我們完蛋了,”社區成員說。
出乎意料的是,該項目的原生代幣在消息浮出水面後暴跌。 TORN 在5 月20 日躍升至7.3 美元,但在接下來的幾天裡下跌了大約40%,目前為4.5 美元。
特別優惠(贊助)幣安免費100 美元(獨家):使用此鏈接註冊並獲得100 美元免費和幣安期貨第一個月(條款)費用10% 的折扣。
PrimeXBT 特惠:使用此鏈接註冊並輸入CRYPTOPOTATO50 代碼以獲得高達7,000 美元的存款。
資訊來源:由0x資訊編譯自CRYPTOPOTATO。版權歸原作者所有,未經許可,不得轉載