Share this article

Kinuha ng Attacker ang Tornado Cash DAO Gamit ang Panloloko sa Boto, Bumaba ang Token ng 40%

Isang malisyosong panukala ang nagbigay-daan sa isang hindi kilalang attacker na kunin ang Tornado Cash, na nagbukas ng mga floodgate sa isang potensyal na treasury drain.

Updated May 22, 2023, 7:24 p.m. Published May 21, 2023, 8:19 a.m. Translated by AI

Ang DAO sa pangangasiwa ng mga operasyon, mga pondo at mga plano sa hinaharap ng Crypto mixer na nakatutok sa privacy na Tornado Cash ay epektibong kinuha ng isang hindi kilalang umaatake, o grupo ng mga umaatake, noong Sabado.

Ang mga DAO, na maikli para sa mga desentralisadong autonomous na organisasyon, ay nagpapahintulot sa mga may hawak ng token na i-lock ang kanilang mga hawak bilang mga boto para sa pagmumungkahi ng mga pagbabago sa isang proyekto. Ang mga pagbabagong ito ay maaaring mula sa pag-deploy ng mga pondo ng treasury hanggang sa mga layuning makikinabang sa proyekto hanggang sa pagpapalawak sa ibang mga network.

Story continues

Don't miss another story.Subscribe to the The Protocol Newsletter today. See all newsletters

By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Sa simula ng weekend, nagpalutang ang attacker ng malisyosong panukala na nagtago ng code function na nagbigay sa kanila ng mga pekeng boto na magagamit na ngayon para pangasiwaan ang ilang aspeto ng Tornado Cash, gaya ng torn (TORN) token na hawak sa pangunahing kontrata ng pamamahala o pag-withdraw ng mga naka-lock na punit na token.

Ginawa ito sa pamamagitan ng FORTH ng panukala na ginaya ang isang naunang bersyon – maliban sa ilang malisyosong code na nagpapahintulot sa pag-update ng lohika na nagbigay ng access sa umaatake sa lahat ng mga boto sa pamamahala.

"Ngayong nasa kanila na ang lahat ng boto, magagawa na nila ang anumang gusto nila," tweet ng security research @samczsun noong Linggo. "Sa kasong ito, nag-withdraw lang sila ng 10,000 boto bilang TORN at ibinenta ang lahat."

Now that they have all the votes, they can do whatever they want. In this case, they simply withdrew 10,000 votes as TORN and sold it allhttps://t.co/XxYezHusK6 pic.twitter.com/qOefI65SLk
— @samczsun.com (@samczsun) May 20, 2023

Dahil dito, hindi naaapektuhan ng pag-atakeng ito ang aktwal na protocol ng Tornado Cash – na nagpapahintulot sa mga user na magpasa ng mga pondo sa pamamagitan ng serbisyo upang i-MASK o takpan ang mga paggalaw ng mga pondo at mga Crypto address. Ang pag-atake na ito ay hindi isang pagsasamantala ng anumang matalinong kontrata o Technology na nauugnay sa pagtatrabaho ng Tornado Cash.

Samantala, ang komunidad ng Tornado Cash ay naglagay ng mga bagong panukala na naglalayong ibalik mga pagbabagong ginawa sa code. Naobserbahan ng ONE miyembro ng komunidad na ang umaatake ay nagkaroon maliciously minted mahigit 1 milyon ang napunit para sa kanilang sarili, nagkakahalaga ng mahigit $4 milyon sa kasalukuyang mga presyo.

Iminungkahi ng iba na gumawa ng isang bagong kontrata sa kabuuan at mag-airdrop mga bagong token sa mga may hawak.

Bumagsak ang mga napunit na presyo ng hanggang 40% sa nakalipas na 24 na oras bilang resulta ng pag-atake sa pamamahala, nagpapakita ng data.

DeFi Token Governance

Shaurya Malwa

Si Shaurya ay ang Co-Leader ng CoinDesk token at data team sa Asia na may pagtuon sa Crypto derivatives, DeFi, market microstructure, at protocol analysis. Hawak CAKE Shaurya ang mahigit $1,000 sa BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI , YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET , Aave, COMP SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, at ORCA. Nagbibigay siya ng mahigit $1,000 sa mga liquidity pool sa Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE, at SAT.