Tornado Cash, un nome che è sinonimo di privacy, sicurezza e controversie nella comunità crypto, è appena stato colpito da una rivelazione preoccupante. Uno sviluppatore, noto nella comunità come Butterfly Effects, avrebbe introdotto codice JavaScript dannoso in una proposta di governance, cogliendo tutti di sorpresa. Dall'inizio dell'anno, sembra che chiunque abbia utilizzato gateway IPFS per interagire con Tornado Cash abbia visto le proprie note di deposito compromesse, indirizzate direttamente a un server sotto il controllo del presunto sviluppatore.
Per chi non lo sapesse, Tornado Cash funge da soluzione di privacy non detentiva, consentendo agli utenti di effettuare transazioni sulla rete Ethereum trac . Questo recente exploit ruota attorno a un frammento di codice che avrebbe dovuto passare inosservato. È stato progettato per rubare le banconote e incanalarle su un server privato, il tutto sotto le mentite spoglie di una proposta di governance benigna.
Ma è qui che le cose si fanno interessanti: l'exploit ha preso di mira le transazioni effettuate tramite distribuzioni IPFS di Tornado Cash. In altre parole, se hai interagito con Tornado Cash utilizzando interfacce locali, puoi tirare un sospiro di sollievo: sei al sicuro, grazie alla trasparenza e alla verificabilità delle interazionitracdirette.
L'exploit in sé è un'opera ingegnosa. Sono davvero impressionato dal lavoro svolto. In pratica, codifica le note di deposito private mascherandole da dati di chiamata, utilizzando furtivamente la funzione window.fetch per trasmettere queste informazioni sensibili al server dell'aggressore.
La community ha scoperto il codice exploit tramite piattaforme come Cloudflare IPFS e i suoi collegamenti a un indirizzo Ethereum sospetto. Tuttavia, c'è un lato positivo nelle misure di ripristino che gli utenti e la community possono adottare per salvaguardare i propri asset e l'integrità di Tornado Cash. Una misura importante consiste nel passare a un'implementazione IPFS ContextHash consigliata, che potrebbe proteggere gli utenti da ulteriori danni. Questa implementazione è convalidata da precedenti proposte di governance.
Come di consueto, la comunità si sta mobilitando, con entità come ZeroTwoDAO e gli sviluppatori di Gas404 che promuovono una posizione proattiva contro tali exploit. Il loro invito all'azione è rivolto ai possessori di TORN affinché esercitino il loro diritto di voto e ponga il veto alle proposte che potrebbero ospitare codice dannoso.
