Cargando...

Código malicioso encontrado en la propuesta de gobernanza de Tornado Cash

Código malicioso encontrado en la propuesta de gobernanza de Tornado Cash

Contenido

Compartir enlace:

En esta publicación:

  • Un desarrollador supuestamente insertó JavaScript malicioso en una propuesta de gobernanza de Tornado Cash , exponiendo las notas de depósito de los usuarios desde el 1 de enero.
  • El exploit se dirigió específicamente a los usuarios de Tornado Cash a través de puertas de enlace IPFS, poniendo en riesgo la exposición y el robo de sus fondos.
  • El análisis técnico reveló el mecanismo del código de explotación, diseñado para reenviar secretamente notas de depósito al servidor del atacante.

Tornado Cash , un nombre que representaba privacidad, seguridad y controversia en la comunidad criptográfica, acaba de recibir una revelación preocupante. Un desarrollador, conocido entre la comunidad como Butterfly Effects, supuestamente introdujo de contrabando JavaScript malicioso en una propuesta de gobernanza, tomando a todos por sorpresa. Desde principios de año, parece que cualquiera que haya utilizado puertas de enlace IPFS para interactuar con Tornado Cash podría haber visto comprometidas sus notas de depósito, enviándolas directamente a un servidor bajo el control del supuesto desarrollador.

Para los no iniciados, Tornado Cash sirve como una solución de privacidad sin custodia, que permite a los usuarios realizar transacciones en la Ethereum sin dejar trac . Este reciente exploit gira en torno a un fragmento de código que debía pasar desapercibido. Fue diseñado para arrebatar notas de depósito y canalizarlas a un servidor privado, todo ello bajo la apariencia de una propuesta de gobernanza benigna.

Pero aquí es donde las cosas se ponen interesantes: el exploit apuntaba a transacciones realizadas a través de implementaciones IPFS de Tornado Cash . En otras palabras, si interactuó con Tornado Cash mediante interfaces locales, dé un suspiro de alivio: estará a salvo, gracias a la transparencia y auditabilidad de las interacciones de trac directo.

El exploit en sí es un trabajo astuto. La verdad es que estoy impresionado por el trabajo. Básicamente, codifica notas de depósito privadas para que se hagan pasar por datos de llamadas, utilizando furtivamente la función window.fetch para transmitir esta información confidencial al servidor del atacante.

La comunidad descubrió el código de explotación a través de plataformas como Cloudflare IPFS y sus enlaces a una dirección sospechosa Ethereum . Sin embargo, hay un lado positivo en forma de medidas de recuperación que los usuarios y la comunidad pueden tomar para salvaguardar sus activos y la integridad de Tornado Cash . Una medida importante implica cambiar a una implementación IPFS ContextHash recomendada, que podría proteger a los usuarios de daños mayores. Este despliegue se valida mediante propuestas de gobernanza previas.

Como de costumbre, la comunidad se está uniendo, con entidades como los desarrolladores de ZeroTwoDAO y Gas404 que abogan por una postura proactiva contra tales exploits. Su llamado a la acción es que los titulares de TORN ejerzan sus derechos de voto y veten las propuestas que puedan albergar código malicioso.

Descargo de responsabilidad:  la información proporcionada no es un consejo comercial. Cryptopolitan.com no asume ninguna responsabilidad por las inversiones realizadas en función de la información proporcionada en esta página. Recomendamos tron dent y/o la consulta con un profesional calificado antes de tomar cualquier decisión de inversión .

Compartir enlace:

Cargando los artículos más leídos...

Manténgase al tanto de las noticias sobre criptomonedas y reciba actualizaciones diarias en su bandeja de entrada

Noticias relacionadas

Binance
criptopolitano
Suscríbete a CryptoPolitan