Tornado Cash, Ethereum blok zinciri üzerinde çalışan merkezi olmayan bir gizlilik çözümüdür. Bu çözüm, sıfır bilgi kanıtları teknolojisi kullanarak kullanıcıların işlemlerini gizli tutmasını sağlar.
TORN yönetişim yapısı ihlal edildi
Tornado Cash kripto karıştırıcı projesinde, hile yapan ağ katılımcılarını cezalandırmayı amaçlayan bir teklif, DAO oylamasında kabul edildi. Ancak teklif sahibi, gizlice ek bir işlev ekleyerek 1.2 milyon ekstra oy elde etti.
Saldırgan, kendisine 1.200.000 oy veren kötü niyetli bir teklifle başarı elde etti. Teklifin 700.000’den fazla meşru oy almasıyla, saldırgan tam kontrolü ele geçirdi.
Bu haber, araştırma odaklı teknoloji yatırım şirketi Paradigm’den @samczsun tarafından paylaşıldı.
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) May 20, 2023
@samczsun, saldırganın daha önce onaylanmış bir teklifle aynı mantığı kullanarak kötü niyetli bir teklife ek bir işlev eklediğini açıkladı.
Saldırganın tam kontrolü ele geçirmesi, yönetim üzerinde tam yetkiye sahip olmasını sağladı. Bu, saldırganın tüm kilitli oyları geri çekmesine, yönetim sözleşmesindeki tüm tokenleri boşaltmasına ve yönlendiriciyi bozmasına izin verir. Ancak, bu durum bireysel havuzların boşaltılmasına izin vermez.
Tornado Cash, forumunda yönetimde bulunan tüm fonların potansiyel olarak ele geçirildiğini doğruladı. Kullanıcılara kilitli fonlarını derhal çekmeleri konusunda bir tavsiyede bulundu.
PeckShieldAlert, Tornado Cash Governance Exploiter’ın Bitrue kripto borsasına 6000 $ yatırdığını ve yaklaşık 380.000 $ TORN’u ETH karşılığında takas ettiğini ve ayrıca 372$ ETH’yi Tornado Cash’e aktardığını belirtti.
Son olarak, bundan ne ders çıkarabiliriz?
Oy verirken dikkatli olun! Öneri açıklamalarının yanıltıcı olabileceğini hepimiz biliyoruz, ancak önerinin mantığı da yanıltıcı olabilir! Eğer doğrulanmış kaynak koduna güveniyorsanız, sözleşmenin kendini imha etme yeteneğine sahip olmadığından emin olun.