تورنادو Cash، الاسم الذي ارتبط بالخصوصية والأمان والجدل في مجتمع العملات الرقمية، تعرض مؤخرًا لكشف مقلق. إذ يُزعم أن مطورًا، يُعرف في أوساط المجتمع باسم "باترفلاي إفيكتس"، قد دسّ شيفرة جافا سكريبت خبيثة في مقترح حوكمة، ما أثار استغراب الجميع. ومنذ بداية العام، يبدو أن أي شخص استخدم بوابات IPFS للتفاعل مع تورنادو Cash قد تكون بيانات إيداعه قد تعرضت للاختراق، حيث تم إرسالها مباشرة إلى خادم تحت سيطرة المطور المزعوم.
بالنسبة لمن لا يعرفون، تُعدّ Tornado Cash حلاً غير احتجازي لحماية الخصوصية، يسمح للمستخدمين بإجراء معاملات على Ethereum دون ترك أي trac . وتدور هذه الثغرة الأمنية الأخيرة حول جزء من التعليمات البرمجية كان من المفترض أن يبقى غير مكتشف. وقد صُمم هذا الجزء لسرقة بيانات الإيداع وتحويلها إلى خادم خاص، كل ذلك تحت ستار اقتراح حوكمة حميد.
لكن هنا تكمن الإثارة: استهدفت الثغرة المعاملات التي تتم عبر عمليات نشر IPFS لبرنامج Tornado Cash. بعبارة أخرى، إذا كنت قد تفاعلت مع Tornado Cash باستخدام واجهات محلية، فلا داعي للقلق، فأنت في مأمن بفضل شفافية وإمكانية تدقيق تفاعلاتtracالمباشرة.
إنّ الثغرة بحدّ ذاتها عملٌ متقنٌ للغاية، وأنا في الواقع معجبٌ به. باختصار، تقوم هذه الثغرة بتشفير بيانات الإيداع الخاصة لتظهر كبيانات مكالمات، مستخدمةً بذكاء دالة window.fetch لنقل هذه المعلومات الحساسة إلى خادم المهاجم.
اكتشف مجتمع المستخدمين ثغرة أمنية في نظام التشفير عبر منصات مثل Cloudflare IPFS وارتباطها بعنوان Ethereum مشبوه. مع ذلك، ثمة جانب إيجابي يتمثل في خطوات استعادة يمكن للمستخدمين والمجتمع اتخاذها لحماية أصولهم وسلامة عملة Tornado Cash. يتمثل أحد الإجراءات المهمة في التحول إلى نشر IPFS ContextHash الموصى به، والذي من شأنه حماية المستخدمين من المزيد من الضرر. وقد تم التحقق من صحة هذا النشر من خلال مقترحات حوكمة سابقة.
وكالعادة، يتكاتف المجتمع، حيث تدعو جهات مثل ZeroTwoDAO ومطوري Gas404 إلى اتخاذ موقف استباقي ضد هذه الثغرات. ويدعون حاملي عملة TORN إلى ممارسة حقوقهم في التصويت ورفض المقترحات التي قد تحتوي على برمجيات خبيثة.
