Tornado Cashiin tehdyt talletukset IPFS-yhdyskäytävien kautta IPFS-yhdyskäytävien, kuten ipfs.io, cf-ipfs.com ja eth.link, kautta ovat saattaneet vaarantua, mikä saattaa altistaa käyttäjien talletetut varat riskille, pseudonyymin Tornado Cash -kehittäjä 'Gas404' mukaan. .'

Asianomaisia ​​käyttäjiä kehotettiin ryhtymään välittömiin toimiin talletustensa turvaamiseksi.

Käyttäjien talletukset haavoittuvia

Mukaan blogi Gas404:n toimesta yhteisö teki hätkähdyttävän havainnon haitallisesta JavaScript-koodista, joka oli piilotettu Butterfly Effects -nimisen Tornado Cash -kehittäjän esittämään hallintoehdotukseen.

Tämän piilotetun koodin arvellaan vuotaneen talletuslappuja kehittäjän hallitsemalle yksityiselle palvelimelle tammikuun 1. päivästä lähtien.

Erityisesti riski näyttää rajoittuvan Tornado Cashin IPFS-käyttöönottoihin, koska Gas404 mainitsi, että pienennetyn lähdekoodin muutokset voidaan helposti tarkastaa paikallisissa liitännöissä.

Mahdollisen vahingon lieventämiseksi virka suositteli Tornado Cashin alkuperäisen merkin TORN:n haltijoita äänestämään veto-oikeuden puolesta kahdelle hyväksikäyttäjän aiemmin käyttämälle kyseenalaiselle ehdotukselle.

"Tämä otettaisiin huomioon vain Tornado Cashin IPFS-käyttöönotuksissa, koska minimoidusta lähteestä on tullut piilotettu ansa huijarille ja siten paikallisia rajapintoja käyttäen sopimukseen vuorovaikutuksessa olleet ihmiset katsottaisiin turvallisiksi, koska sitoumusten muutokset voitaisiin helposti auditoida. ”

Tornado Cashin putoaminen

Tornado Cash on yksi suosituimmista kryptosekoittimista maailmassa. Suurena iskuna Yhdysvaltain valtiovarainministeriön ulkomaan omaisuuden valvontavirasto (OFAC) seuraamuksia Tornado Cash elokuussa 2022, joka kieltää yksityishenkilöitä, asukkaita ja yhteisöjä Yhdysvalloissa harjoittamasta rahoitustapahtumia alustan kautta.

Valtiovarainministeriö väitti, että kryptosekoitin auttoi yli 7 miljardin dollarin rahanpesua digitaalisilla valuutoilla, mukaan lukien 455 miljoonan dollarin uskotaan varastaneen vuonna 2022 Lazarus Groupin, pahamaineisen Pohjois-Korean hallitukseen liittyvän tahon.

Myöhemmin projektin verkkotunnus takavarikoitiin, ja GitHub poisti Tornado Cash -tietovaraston samalla, kun hän keskeytti kehittäjien tilit, mikä johti tietosuojan puolestapuhujien vastalauseeseen. Microsoftin omistama alusta myöhemmin käyttökieltoa kumota kolikkosekoitin ja avustajat.

Viime toukokuussa hyökkääjä käytti petollista ehdotusta Tornado Cashin hajautetun autonomisen organisaation (DAO) hallintaan. Ehdotus sisälsi piilotetun koodin, joka myönsi hakkereille vilpillisten äänestysmerkkien omistuksen DAO:n luvalla.

Onnistuneen äänestyksen jälkeen hakkeri keräsi tarpeeksi äänivaltaa manipuloidakseen tulevia ehdotuksia. Kuukauden loppuun mennessä hakkeri oli näennäisesti luopunut hallintaan, muuntaessaan osan varastetuista hallinnointitokeneista, joiden arvo oli noin 900,000 XNUMX dollaria, Etheriksi, joka sitten pestään Tornado Cash -palvelun kautta.

Asiaa vaikeutti entisestään se, että kaksi muuta Tornado-kehittäjää, Roman Storm ja Roman Semenov, joutuivat syytteeseen heidän väitetystä osallistumisestaan ​​rahanpesun edistämiseen, yhteensä miljardi dollaria. Roman Storm pidätettiin myöhemmin Washingtonin osavaltiossa ja vetosi "ei syyllinen" häntä vastaan ​​esitettyihin syytteisiin.