在最近的一次網絡攻擊中,負責管理專注於隱私的加密貨幣混合器Tornado Cash 的去中心化自治組織(DAO) 成為身份不明的攻擊者或攻擊者團體的受害者。
該事件導致攻擊者獲得了DAO 的運營和資金的控制權。但是,需要注意的是,此次攻擊並未損害Tornado Cash 協議本身的功能或安全性,該協議允許用戶掩蓋其加密貨幣交易。
DAO 允許代幣持有者將他們的資產作為對項目變更提議的投票。在這種情況下,攻擊者提出了一個隱藏代碼功能的惡意修改,讓他獲得虛假投票和對Tornado Cash 各方面的控制權,例如主治理合約中的TORN 代幣或提取被阻止的TORN 代幣。攻擊者隨後以TORN 代幣的形式撤回了10,000 張選票並將其出售。
現在他們有了所有的選票,他們可以為所欲為。在這種情況下,他們只是作為TORN 撤回了10,000 票並將其全部出售https://t.co/XxYezHusK6 pic.twitter.com/qOefI65SLk
– @samczsun.com (@samczsun) 2023 年5 月20 日
這一非法行為導致TORN 價格大幅下跌,在過去24 小時內下跌了40%。
Tornado Cash (TORN) 價格走勢圖| 硬幣市值
然而,Tornado Cash 社區對這一漏洞做出了迅速反應,提出了旨在撤銷攻擊者所做的惡意更改的新提案。
值得注意的是,一位社區成員指出,攻擊者生成了超過100 萬個TORN 代幣,價值超過400 萬美元。提議的解決方案涉及通過刪除惡意代碼和將投票權重新分配給代幣持有者來恢復治理。
令人鼓舞的是,最近由與攻擊相關的錢包地址提交的提案表明,攻擊者願意自願撤銷其行為。
該提案旨在將攻擊者的TORN 代幣餘額重置為零,從而放棄他們所獲得的管理選票的多數控制權。投票過程正在進行中,將於5 月26 日結束,鑑於攻擊者持有大量代幣,該提案很有可能獲得批准。
成功執行提案後,Tornado Cash 協議中內置的惡意代碼將被刪除,將完全的治理控制權恢復到代幣持有者手中。因此,TORN 代幣在企穩之前出現了高達10% 的臨時飆升。
Tornado Cash (TORN) 價格走勢圖| 幣藝工
然而,考慮到攻擊者的行為可能是蓄意操縱代幣價格的一部分,Tornado Cash 社區的一些成員對此持謹慎態度。該理論表明,攻擊者精心策劃了破壞以降低代幣的價值,從而有可能以較低的價格增加其餘額。
TornadoCash 攻擊者部署了一項新提案,如果執行該提案,似乎可以扭轉對治理功能造成的損害。他們要么是giga trolling,要么最終會成為治理安全方面的昂貴但並非災難性的教訓。 https://t.co/QMWYFsi8kP
– 0xdeadf4ce (@0xdface) 2023 年5 月21 日
這次對Tornado Cash 的攻擊再次凸顯了去中心化自治組織和去中心化金融協議對結構性攻擊的脆弱性。雖然傳統黑客利用代碼漏洞,但這些類型的攻擊涉及操縱政府系統。
此漏洞背後的攻擊者似乎利用了Tornado Cash 最近被指定為受制裁實體這一事實,可能指望與法律訴訟相關的困難。
資訊來源:由0x資訊編譯自出CRYPTO。版權歸作者Manuela所有,未經許可,不得轉載