Tornado Cash, un nom synonyme de confidentialité, de sécurité et de controverse au sein de la communauté crypto, vient d'être ébranlé par une révélation inquiétante. Un développeur, connu sous le pseudonyme de Butterfly Effects, aurait introduit subrepticement du code JavaScript malveillant dans une proposition de gouvernance, prenant tout le monde par surprise. Depuis le début de l'année, il semblerait que toute personne utilisant des passerelles IPFS pour interagir avec Tornado Cash ait vu ses dépôts compromis, ceux-ci étant directement acheminés vers un serveur contrôlé par le développeur présumé.
Pour les néophytes, Tornado Cash est une solution de confidentialité non dépositaire permettant d'effectuer des transactions sur le réseau Ethereum trac . Cette récente faille de sécurité repose sur un fragment de code initialement conçu pour passer inaperçu. Ce code visait à intercepter les notes de dépôt et à les transférer vers un serveur privé, le tout sous couvert d'une proposition de gouvernance anodine.
Mais voici où les choses deviennent intéressantes : l’exploit ciblait les transactions effectuées via les déploiements IPFS de Tornado Cash. Autrement dit, si vous avez interagi avec Tornado Cash via des interfaces locales, vous pouvez être rassuré : vous n’êtes pas concerné, grâce à la transparence et à l’auditabilité des interactionstracdirectes.
L'exploit en lui-même est un travail d'une grande ingéniosité. Je suis vraiment impressionné. Concrètement, il encode des notes de dépôt privées pour les faire passer pour des données d'appel, en utilisant subrepticement la fonction window.fetch pour transmettre ces informations sensibles au serveur de l'attaquant.
La communauté a découvert la faille de sécurité via des plateformes comme Cloudflare IPFS et ses liens avec une adresse Ethereum suspecte. Cependant, des solutions existent : des mesures de récupération permettent aux utilisateurs et à la communauté de protéger leurs actifs et l’intégrité de Tornado Cash. L’une d’elles consiste à migrer vers un déploiement IPFS ContextHash recommandé, ce qui pourrait protéger les utilisateurs contre d’autres dommages. Ce déploiement est validé par des propositions de gouvernance antérieures.
Comme toujours, la communauté se mobilise, et des entités telles que ZeroTwoDAO et les développeurs de Gas404 militent pour une approche proactive contre ces failles de sécurité. Ils appellent les détenteurs de jetons TORN à exercer leur droit de vote et à rejeter les propositions susceptibles de contenir du code malveillant.
