Partager cet article

Un attaquant prend le contrôle de Tornado Cash DAO avec une fraude électorale, le jeton chute de 40 %

Une proposition malveillante a permis à un attaquant non identifié de prendre le contrôle de Tornado Cash, ouvrant ainsi la voie à une potentielle fuite de trésorerie.

Mise à jour 22 mai 2023, 7:24 p.m. Publié 21 mai 2023, 8:19 a.m. Traduit par IA

Le DAO gérant les opérations, les fonds et les plans futurs du mixeur de Crypto axé sur la confidentialité Tornado Cash a été effectivement repris par un attaquant non identifié, ou un groupe d'attaquants, samedi.

Les DAO (organisations autonomes décentralisées) permettent aux détenteurs de jetons de verrouiller leurs avoirs sous forme de votes pour proposer des modifications à un projet. Ces modifications peuvent aller du déploiement de fonds de trésorerie à des fins bénéfiques pour le projet jusqu'à son expansion sur d'autres réseaux.

La Suite Ci-Dessous

Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir Toutes les Newsletters

En vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.

Au début du week-end, l'attaquant a lancé une proposition malveillante qui cachait une fonction de code qui leur accordait de faux votes qui peuvent désormais être utilisés pour gérer certains aspects de Tornado Cash, tels que les jetons déchirés (TORN) détenus dans le contrat de gouvernance principal ou le retrait des jetons déchirés verrouillés.

Cela a été fait en FORTH une proposition qui imitait une version antérieure – à l’exception d’un code malveillant qui permettait la mise à jour de la logique donnant à l’attaquant l’accès à tous les votes de gouvernance.

« Maintenant qu'ils ont tous les votes, ils peuvent faire ce qu'ils veulent », a tweeté dimanche le chercheur en sécurité @samczsun. « Dans ce cas précis, ils ont simplement retiré 10 000 votes de TORN et les ont tous vendus. »

Now that they have all the votes, they can do whatever they want. In this case, they simply withdrew 10,000 votes as TORN and sold it allhttps://t.co/XxYezHusK6 pic.twitter.com/qOefI65SLk
— @samczsun.com (@samczsun) May 20, 2023

Par conséquent, cette attaque n'affecte pas le protocole Tornado Cash, qui permet aux utilisateurs de transférer des fonds via le service afin de MASK ou de masquer les mouvements de fonds et d'adresses Crypto . Cette attaque n'a pas exploité de contrats intelligents ni de Technologies liées au fonctionnement de Tornado Cash.

Pendant ce temps, la communauté Tornado Cash a présenté de nouvelles propositions visant à revenir à la normale.modifications apportées au code. Un membre de la communauté a observé que l'agresseur avait frappé de manière malveillanteplus d'un million de dollars ont été arrachés pour eux-mêmes, d'une valeur de plus de 4 millions de dollars aux prix actuels.

D'autres ont suggéré de créer un tout nouveau contrat et de procéder à un largage aérien.nouveaux jetons pour les détenteurs.

Les prix des pièces déchirées ont chuté de 40 % au cours des dernières 24 heures en raison de l'attaque de la gouvernance,les données montrent.

DeFi Token Governance

Shaurya Malwa

Shaurya est le co-responsable de l'équipe de jetons et de données de CoinDesk en Asie, avec un accent sur les dérivés Crypto , la DeFi, la microstructure du marché et l'analyse des protocoles. Shaurya détient plus de 1 000 $ en BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, Aave, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT et ORCA. Il fournit plus de 1 000 $ aux pools de liquidités sur Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE et THU.