Tornado Cash, nombre que representaba privacidad, seguridad y controversia en la comunidad cripto, acaba de ser afectado por una preocupante revelación. Un desarrollador, conocido en la comunidad como Butterfly Effects, presuntamente introdujo JavaScript malicioso en una propuesta de gobernanza, tomando a todos por sorpresa. Desde principios de año, parece que cualquiera que haya usado pasarelas IPFS para interactuar con Tornado Cash podría haber visto comprometidas sus notas de depósito, enviándolas directamente a un servidor bajo el control del supuesto desarrollador.
Para quienes no lo sepan, Tornado Cash funciona como una solución de privacidad sin custodia, que permite a los usuarios realizar transacciones en la red Ethereum trac . Este exploit reciente gira en torno a un fragmento de código que pretendía pasar desapercibido. Fue diseñado para robar billetes de depósito y canalizarlos a un servidor privado, todo bajo la apariencia de una propuesta de gobernanza benigna.
Pero aquí es donde la cosa se pone interesante: el exploit se dirigía a las transacciones realizadas mediante implementaciones IPFS de Tornado Cash. En otras palabras, si interactuaste con Tornado Cash mediante interfaces locales, puedes estar tranquilo: estás a salvo gracias a la transparencia y la auditabilidad de las interaccionestracdirectas.
El exploit en sí es un trabajo astuto. De hecho, estoy impresionado. Básicamente, codifica notas de depósito privadas para que se hagan pasar por datos de llamadas, utilizando sigilosamente la función window.fetch para transmitir esta información confidencial al servidor del atacante.
La comunidad descubrió el código de explotación a través de plataformas como Cloudflare IPFS y sus enlaces a una dirección sospechosa Ethereum . Sin embargo, existe un aspecto positivo: las medidas de recuperación que los usuarios y la comunidad pueden tomar para proteger sus activos y la integridad de Tornado Cash. Una medida importante consiste en cambiar a una implementación recomendada de IPFS ContextHash, que podría proteger a los usuarios de daños adicionales. Esta implementación está validada mediante propuestas de gobernanza previas.
Como de costumbre, la comunidad se está uniendo, con entidades como ZeroTwoDAO y los desarrolladores de Gas404 abogando por una postura proactiva contra este tipo de exploits. Su llamado a la acción es que los poseedores de TORN ejerzan su derecho a voto y veten las propuestas que puedan albergar código malicioso.
