Depósitos feitos no Tornado Cash usando gateways IPFS através de gateways IPFS como – ipfs.io, cf-ipfs.com e eth.link – podem ter sido comprometidos, expondo potencialmente os fundos depositados dos usuários ao risco, de acordo com o pseudônimo desenvolvedor do Tornado Cash 'Gas404 .'

Os usuários afetados foram aconselhados a tomar medidas imediatas para proteger seus depósitos.

Depósitos de usuários vulneráveis

De acordo com uma no blog por Gas404, a comunidade fez uma descoberta surpreendente sobre a presença de código JavaScript malicioso, que estava escondido dentro de uma proposta de governança apresentada por um suposto desenvolvedor do Tornado Cash conhecido como Butterfly Effects.

Especula-se que esse código oculto esteja vazando notas de depósito para um servidor privado controlado pelo desenvolvedor desde 1º de janeiro.

Notavelmente, o risco parece estar limitado às implantações IPFS do Tornado Cash, já que Gas404 mencionou que as alterações no código-fonte minificado poderiam ser facilmente auditadas em interfaces locais.

Para mitigar o dano potencial, a postagem recomendou que os detentores do token nativo do Tornado Cash, TORN, votassem pelo veto às duas propostas questionáveis ​​anteriormente implantadas pelo explorador.

“Isso contaria apenas para as implantações IPFS do Tornado Cash, uma vez que a fonte minificada se tornou uma armadilha oculta para um golpista e, portanto, as pessoas que interagiram com o contrato usando interfaces locais seriam consideradas seguras, uma vez que as alterações nos commits poderiam ser facilmente auditadas. ”

A Queda do Dinheiro Tornado

Tornado Cash é um dos misturadores de criptografia mais populares do mundo. Num grande golpe, o Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionado Tornado Cash em agosto de 2022, proibindo indivíduos, residentes e entidades nos Estados Unidos de se envolverem em transações financeiras por meio da plataforma.

O Departamento do Tesouro alegou que o misturador de criptografia facilitou a lavagem de mais de US$ 7 bilhões em moedas digitais, incluindo US$ 455 milhões que se acredita terem sido furtados em 2022 pelo Grupo Lazarus, uma entidade notória ligada ao governo norte-coreano.

Posteriormente, o domínio do projeto foi apreendido e o GitHub removeu o repositório Tornado Cash enquanto suspendia as contas dos desenvolvedores, gerando protestos dos defensores da privacidade. A plataforma de propriedade da Microsoft mais tarde não banido o misturador de moedas e contribuidores.

Em maio passado, um invasor empregou uma proposta enganosa para tomar o controle da Organização Autônoma Descentralizada (DAO) do Tornado Cash. A proposta continha um código oculto que concedia ao hacker a propriedade de tokens de votação fraudulentos mediante aprovação do DAO.

Após uma votação bem-sucedida, o hacker acumulou poder de voto suficiente para manipular propostas futuras. No final do mês, o hacker aparentemente havia abandonado controle, tendo convertido uma parte dos tokens de governança roubados avaliados em aproximadamente US$ 900,000 em Ether, que foram então lavados por meio do serviço Tornado Cash.

Para complicar ainda mais a situação, dois desenvolvedores adicionais do Tornado, Roman Storm e Roman Semenov, enfrentaram acusações relacionadas ao seu suposto envolvimento na facilitação da lavagem de dinheiro, totalizando US$ 1 bilhão. Roman Storm foi posteriormente detido no estado de Washington e suplicou 'inocente' das acusações contra ele.