암호화폐 커뮤니티에서 개인정보 보호, 보안, 그리고 논란의 대명사였던 토네이도 캐시(Tornado Cash심각한 문제에 직면했습니다. 버터플라이 이펙츠(Butterfly Effects)라는 닉네임으로 알려진 한 개발자가 거버넌스 제안서에 악성 자바스크립트를 심어 모두를 당황하게 한 것으로 드러났습니다. 올해 초부터 IPFS 게이트웨이를 통해 토네이도 Cash 와 거래한 사용자들은 예치금이 해당 개발자가 관리하는 서버로 전송되는 과정에서 보안에 취약한 것으로 보입니다.
토네이도 Cash 비수탁형 개인정보 보호 솔루션으로, 사용자가 Ethereum trac 남기지 않고 . 최근 발생한 이 공격은 눈에 띄지 않도록 설계된 코드 조각을 이용한 것입니다. 이 코드는 마치 선의의 거버넌스 제안인 것처럼 위장하여 예치된 지폐를 가로채 개인 서버로 빼돌리도록 고안되었습니다.
하지만 여기서 흥미로운 점이 있습니다. 이 공격은 Tornado Cash의 IPFS 배포를 통해 이루어진 거래를 표적으로 삼았습니다. 다시 말해, 로컬 인터페이스를 사용하여 Tornado Cash 와 상호 작용했다면 안도의 한숨을 쉬세요. 직접trac상호 작용의 투명성과 감사 가능성 덕분에 무사할 수 있습니다.
이 취약점 자체는 매우 교묘한 수법입니다. 저는 그 수법에 감탄했습니다. 기본적으로, 이 수법은 개인 예금 메모를 통화 데이터로 위장하도록 암호화한 다음, window.fetch 함수를 교묘하게 이용하여 이 민감한 정보를 공격자의 서버로 전송합니다.
커뮤니티는 클라우드플레어 IPFS와 같은 플랫폼 및 의심스러운 Ethereum 주소와의 연결을 통해 익스플로잇 코드를 발견했습니다. 하지만 다행히도 사용자와 커뮤니티가 자산을 보호하고 토네이도 Cash의 무결성을 지키기 위해 취할 수 있는 복구 조치가 있습니다. 중요한 조치 중 하나는 권장되는 IPFS 컨텍스트해시 배포로 전환하는 것으로, 이를 통해 사용자는 추가적인 피해를 방지할 수 있습니다. 이 배포 방식은 이전 거버넌스 제안을 통해 검증되었습니다.
늘 그렇듯, 커뮤니티는 ZeroTwoDAO와 Gas404 개발자들을 비롯한 여러 단체들이 이러한 악용 사례에 대한 선제적 대응을 촉구하며 힘을 모으고 있습니다. 이들은 TORN 보유자들에게 투표권을 행사하여 악성 코드가 포함될 가능성이 있는 제안을 거부할 것을 촉구하고 있습니다.
