Tornado Cash, ein Name, der in der Krypto-Community für Datenschutz, Sicherheit und Kontroversen stand, wurde von einer beunruhigenden Enthüllung erschüttert. Ein Entwickler, in der Community als Butterfly Effects bekannt, soll bösartigen JavaScript-Code in einen Governance-Vorschlag eingeschleust und damit alle überrascht haben. Seit Jahresbeginn besteht die Gefahr, dass die Einzahlungsbelege aller Nutzer, die IPFS-Gateways für die Interaktion mit Tornado Cash verwendeten, kompromittiert und direkt an einen Server unter der Kontrolle des mutmaßlichen Entwicklers gesendet wurden.
Für diejenigen, die Tornado Cash : Es handelt sich um eine datenschutzfreundliche Lösung, die es Nutzern ermöglicht, Transaktionen im Ethereum Netzwerk durchzuführen, ohne trac . Der kürzlich aufgedeckte Sicherheitsvorfall basiert auf einem Codeabschnitt, der eigentlich unbemerkt bleiben sollte. Dieser Code war darauf ausgelegt, Einzahlungsbeträge abzufangen und sie unter dem Deckmantel eines harmlosen Governance-Vorschlags an einen privaten Server weiterzuleiten.
Doch jetzt wird es interessant: Der Exploit zielte auf Transaktionen ab, die über IPFS-Bereitstellungen von Tornado Cashabgewickelt wurden. Mit anderen Worten: Wenn Sie über lokale Schnittstellen mit Tornado Cash interagiert haben, können Sie aufatmen – dank der Transparenz und Nachvollziehbarkeit direktertracsind Sie nicht gefährdet.
Der Exploit selbst ist raffiniert. Ich bin wirklich beeindruckt davon. Im Grunde verschlüsselt er private Einzahlungsbelege, um sie als Anrufdaten zu tarnen, und nutzt dabei geschickt die `window.fetch`-Funktion, um diese sensiblen Informationen an den Server des Angreifers zu übermitteln.
Die Community entdeckte den Exploit-Code über Plattformen wie Cloudflare IPFS und dessen Verbindung zu einer verdächtigen Ethereum -Adresse. Es gibt jedoch auch Hoffnung: Nutzer und die Community können Maßnahmen ergreifen, um ihre Vermögenswerte und die Integrität von Tornado Cashzu schützen. Eine wichtige Maßnahme ist die Umstellung auf eine empfohlene IPFS ContextHash-Implementierung, die Nutzer vor weiterem Schaden bewahren kann. Diese Implementierung wurde durch frühere Governance-Vorschläge validiert.
Wie üblich hält die Community zusammen, und Organisationen wie ZeroTwoDAO und die Entwickler von Gas404 setzen sich für ein proaktives Vorgehen gegen solche Sicherheitslücken ein. Sie rufen TORN-Lizenzinhaber dazu auf, ihr Stimmrecht auszuüben und Vorschläge abzulehnen, die möglicherweise Schadcode enthalten.
