'Tornado Cashpotenziato' Foom.Cash rischia una perdita di quasi 2,3 milioni di dollari nell'exploit

Foom.Cash, un protocollo di privacy basato su Ethereumche si è posizionato come un'evoluzione del mixer autorizzato Tornado Cash, avrebbe perso circa 2,26 milioni di dollari in token dopo che un aggressore ha sfruttato una falla nel suo sistema di verifica crittografica, secondo gli avvisi emessi da diverse aziende di sicurezza blockchain.

L'attacco, che ha colpitotracsia sulla rete Ethereum che su quella Base, ha prosciugato 24.283.773.519.600 token FOOM, la risorsa nativa della piattaforma, in quello che i ricercatori di sicurezza hanno descritto come un exploit imitatore che replica una vulnerabilità quasidentpresa di mira in un protocollo separato solo pochi giorni prima.

Una singola transazione sulla rete Base ha causato perdite per circa 427.000 dollari, attribuibili direttamente al malintenzionato. Le transazioni su Ethereum , per un totale di circa 1,83 milioni di dollari, sembrano essere state parte di un'operazione di salvataggio white-hat. 

Come è avvenuto l'attacco?

GoPlus Security , la rete di sicurezza Web3 guidata da BinanceLabs , ha segnalato l'attacco, segnalando che una configurazione errata della chiave di verifica ha permesso all'aggressore di falsificare le prove zkSNARK. Ciò ha consentito loro di fabbricare credenziali crittografichedentil protocollo ha accettato come valide e quindi estrarretracvolumi di token dai contrattitrac.

La piattaforma di sicurezza blockchain Certik ha scritto su X: "La causa principale potrebbe essere l'impostazione delta2==gamma2 del verificatore Groth16 all'indirizzo 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Ciò consente all'attaccante di calcolare il 'pC' necessario per diversi 'nullifierHash' mentre tutti gli altri input sono identici, e di raccogliere ripetutamente token ZOOM."

In breve, un protocollo il cui marketing sottolineava la quasi impossibilità di invertire le sue protezioni crittografiche è stato vanificato da una configurazione errata.

Phalcon di BlockSec , che ha rilevato transazioni sospette su entrambe le reti in tempo reale, ha affermato che l'incidentedent essere un attacco di imitazione. L'azienda ha osservato che l'attacco ha sfruttato la stessa causa principale precedentemente identificatadentviolazione di Veil Cash , avvenuta pochi giorni prima.

Vale la pena sottolineare che la violazione di Veil Cash è stata di portata più limitata, con perdite contenute in un numero limitato di ETH, a quanto pare 2,9 ETH.

Che cosa è Foom.Cash?

Foom.Cash si presenta come un "protocollo di lotteria privata basato su ZKProof" che combina l'anonimato di Zcash, che opera come una blockchain privata indipendente, l'accessibilità Ethereumdi DeFi e un meccanismo di ricompensa casuale integrato. 

È pubblicizzato come un upgrade di Tornado Cash e un'alternativa a Zcash su Ethereum. Tornado Cash è stato sanzionato dal Dipartimento del Tesoro degli Stati Uniti nel 2022, ma il dipartimento ha revocato le sanzioni sulla piattaforma nel marzo 2025. 

Secondo la piattaforma, elabora più transazioni giornaliere di Tornado Cash, vanta oltre otto milioni di dollari di liquidità e genera rendimenti annuali dal 50 all'80% per i fornitori di liquidità.

La privacy nella DeFi sta riscuotendo un rinnovato interesse, con Zcash che ha registrato un significativo aumento di prezzo negli ultimi mesi e Foom.Cash ha cercato di capitalizzare su questa tendenza offrendo la privacy in modo nativo all'interno dell'infrastruttura esistente di Ethereum.

La piattaforma utilizzava una variante specifica chiamata zkSNARKs, che è uno degli ingredienti chiave alla base delle garanzie di privacy in protocolli consolidati come Zcash.

Cosa sta facendo Foom.Cash per recuperare i fondi e risolvere l'attacco?

Finora, l'unica menzione di un recupero è legata alla seconda transazione da circa 1,83 milioni di dollari, che le società di sicurezza segnalano come parte di un'operazione di salvataggio white-hat.

Tuttavia, il teamCash non ha ancora menzionato o riconosciuto l'attacco hacker. Pertanto, al momento in cui scriviamo, non ci sono informazioni sull'entità dell'impatto del protocollo o su cosa il protocollo stia facendo per mitigare futuri attacchi. 

Il recupero whitehat suggerisce che il team potrebbe lavorare dietro le quinte per recuperare i fondi e risolvere i problemi di fondo.