Tornado Cash , un nom synonyme de confidentialité, de sécurité et de controverse dans la communauté crypto, vient de faire l'objet d'une révélation inquiétante. Un développeur, connu dans la communauté sous le nom de Butterfly Effects, aurait introduit clandestinement du JavaScript malveillant dans une proposition de gouvernance, prenant tout le monde au dépourvu. Depuis le début de l'année, il semble que quiconque utilisait les passerelles IPFS pour interagir avec Tornado Cash aurait pu voir ses notes de dépôt compromises, les envoyant directement à un serveur sous le contrôle du prétendu développeur.
Pour les non-initiés, Tornado Cash sert de solution de confidentialité non dépositaire, permettant aux utilisateurs d'effectuer des transactions sur le Ethereum sans laisser de trac . Ce récent exploit tourne autour d'un morceau de code censé rester inaperçu. Il a été conçu pour récupérer les billets de dépôt et les acheminer vers un serveur privé, le tout sous couvert d’une proposition de gouvernance anodine.
Mais c'est ici que les choses deviennent intéressantes : l'exploit ciblait les transactions effectuées via les déploiements IPFS de Tornado Cash . En d’autres termes, si vous avez interagi avec Tornado Cash à l’aide d’interfaces locales, poussez un soupir de soulagement : vous êtes à l’abri, grâce à la transparence et à l’auditabilité des interactions trac directes.
L’exploit lui-même est un travail astucieux. En fait, je suis impressionné par le travail. Fondamentalement, il code les notes de dépôt privées pour les faire passer pour des données d'appel, en utilisant sournoisement la fonction window.fetch pour transmettre ces informations sensibles au serveur de l'attaquant.
La communauté a découvert le code d’exploitation via des plateformes comme Cloudflare IPFS et ses liens vers une adresse Ethereum Cependant, il existe un côté positif sous la forme de mesures de récupération que les utilisateurs et la communauté peuvent prendre pour protéger leurs actifs et l'intégrité de Tornado Cash . Une mesure importante consiste à passer à un déploiement IPFS ContextHash recommandé, qui pourrait protéger les utilisateurs contre d’autres dommages. Ce déploiement est validé par des propositions de gouvernance préalables.
Comme d'habitude, la communauté se mobilise, avec des entités comme les développeurs de ZeroTwoDAO et Gas404 qui prônent une position proactive contre de tels exploits. Leur appel à l'action est pour que les détenteurs de TORN exercent leurs droits de vote et opposent leur veto aux propositions susceptibles d'héberger un code malveillant.