Un développement préoccupant a touché Tornado Cash, une plateforme décentralisée de mixage de cryptomonnaies, suite à une faille de sécurité majeure. Un attaquant a réussi à prendre le contrôle total de la gouvernance de la plateforme grâce à une proposition malveillante. L'dent s'est produit le 20 mai à 3h25 (heure de l'Est des États-Unis) lorsque l'attaquant s'est octroyé 1,2 million de votes, s'emparant ainsi du système de gouvernance de Tornado Cash. Cette exploitation a eu lieu malgré le fait que la proposition ait recueilli plus de 700 000 votes légitimes, permettant à l'attaquant de manipuler la plateforme à sa guise.
L'attaquant a conçu un programme malveillant pour attaquer Tornado Cash
Les détails de l'attaque ont été partagés par @samczsun, membre de Paradigm, une société d'investissement technologique axée sur la recherche. Selon @samczsun, l'attaquant a astucieusement conçu la proposition malveillante pour qu'elle ressemble à une proposition ayant déjà fonctionné, exploitant ainsi la confiance et la familiarité de la communauté. Cependant, cette fois-ci, la proposition comportait une fonction supplémentaire.
Une fois la proposition approuvée, l'attaquant a immédiatement déclenché la fonction d'arrêt d'urgence, modifiant la logique de la proposition pour s'attribuer les votes frauduleux. Maîtrisant totalement la gouvernance de Tornado Cash, il a ensuite retiré 10 000 votes sous forme de jetons TORN et les a vendus à son profit.
Cetdent rappelle brutalement aux investisseurs en cryptomonnaies l'importance d'examiner attentivement la description et la logique des propositions avant de voter. En réponse à cette attaque, un membre actif de la communauté Tornado Cash, connu sous le pseudonyme de Tornadosaurus-Hex ou M. Tornadosaurus Hex, a confirmé que tous les fonds bloqués dans le système de gouvernance sont potentiellement compromis. Il a exhorté tous les membres à retirer leurs fonds bloqués afin de protéger leurs actifs.
Pour tenter de remédier à la situation, la communauté a essayé de mettre en place untracpour annuler les modifications et a conseillé à ses membres de retirer leurs fonds. Parallèlement, un développeur de la communauté a lancé un appel à l'aide urgent, confirmant l'attaque et indiquant que la situation restait critique, l'attaquant contrôlant le système de gouvernance.
La plateforme cherche des solutions pour redresser la situation
L'équipe de Tornado Cash recherche activement des développeurs Solidity capables de contribuer à la résolution de cette situation critique. Par ailleurs, elle cherche à entrer en contact avec Binance, car cette plateforme détient davantage de jetons que l'attaquant, ce qui pourrait permettre d'atténuer les dégâts.
Parallèlement, un ancien développeur de Tornado Cash travaillerait à la création d'un nouveau service de mixage de cryptomonnaies. Cette solution novatrice vise à corriger la faille critique de Tornado Cash tout en permettant à la communauté de se protéger des pirates informatiques sans recourir à une réglementation excessive ni compromettre les principes fondamentaux des cryptomonnaies.
Alors que Tornado Cash fait face aux conséquences de cette attaque, la communauté crypto est rappelée aux défis et vulnérabilités persistants de l'écosystème décentralisé. Les efforts visant à renforcer les mesures de sécurité et l'implication de la communauté sont essentiels pour préserver l'intégrité et la fiabilité de ces plateformes à l'avenir.
