Leggi l’articolo per scoprire come un aggressore è riuscito a ottenere il controllo completo della governance di Tornado Cash grazie a una proposta malevola.
Scopri le conseguenze di questo attacco e le azioni intraprese dalla comunità per salvaguardare il protocollo.
In data 20 maggio alle 3:25 ET, un aggressore ha concesso con successo 1,2 milioni di voti a una proposta malevola.
Dato che la proposta ha ricevuto più di 700.000 voti legittimi, l’aggressore ha ottenuto il controllo totale della governance di Tornado Cash.
Il 20/05/2023 alle 07:25:11 UTC, la governance di Tornado Cash ha effettivamente cessato di esistere. Attraverso una proposta malevola, un utente malintenzionato si è concesso 1.200.000 voti. Poiché questo è più dei ~700.000 voti legittimi, ora hanno il pieno controllo.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) 20 maggio 2023
L’informazione è stata condivisa da @samczsun, della società di investimenti tecnologici Paradigm, che ha rivelato che, nel condividere la proposta malevola, l’aggressore ha affermato di aver utilizzato una logica simile a una proposta che era stata precedentemente approvata dalla comunità.
Tuttavia, questa volta, la proposta aveva una funzione aggiuntiva.
Come spiegato da @samczsun:
“Una volta che la proposta è stata approvata dai votanti, l’aggressore ha semplicemente utilizzato la funzione di emergenza per aggiornare la logica della proposta e concedersi i voti falsi.”
Il controllo totale sulla governance di Tornado Cash consente all’aggressore di prelevare tutti i voti bloccati, svuotare tutti i token nel contratto di governance e disattivare il router.
Al momento della stesura, l’aggressore “ha semplicemente ritirato 10.000 voti come TORN e li ha venduti tutti”, ha dichiarato @samczsun.
L’attacco ricorda agli investitori crittografici di valutare attentamente le descrizioni e la logica delle proposte.
Una comunità attiva di Tornado Cash, che risponde al nome di Tornadosaurus-Hex o Mr. Tornadosaurus Hex, ha confermato che tutti i fondi nel governo sono potenzialmente compromessi e ha richiesto a tutti i membri di ritirare i fondi bloccati nella governance.
Come mostrato sopra, hanno anche tentato di implementare un contratto che potesse potenzialmente annullare le modifiche, suggerendo comunque alla comunità di ritirare i propri fondi.
Siamo venuti a conoscenza di una chiamata di soccorso da parte di uno sviluppatore della comunità di Tornado Cash che ha confermato gli sviluppi sopra citati, affermando:
“Questa mattina c’è stato un attacco al protocollo di cui già siete a conoscenza.
Tutto il giorno, un altro sviluppatore della comunità ed io abbiamo pensato a cosa fare, ma la situazione è quasi disperata: attualmente l’attaccante controlla il governo.”
Il team è attualmente alla ricerca di sviluppatori di Solidity che possano aiutare a salvare il protocollo dall’estinzione.
Hanno inoltre dichiarato che “abbiamo bisogno di contattare Binance: questa piattaforma di scambio ha più token dell’attaccante.”
Si dice che un ex sviluppatore di Tornado Cash stia lavorando alla creazione di un nuovo servizio di miscelazione crittografica da zero, che affronta il “difetto critico” presente in Tornado Cash.
Lo sviluppatore spera che la soluzione permetta alla comunità di difendersi dagli hacker che abusano dei gruppi di anonimato degli utenti onesti senza richiedere una regolamentazione generale o sacrificare gli ideali crittografici.
