Tornado Cash, um nome que representava privacidade, segurança e controvérsia na comunidade cripto, acaba de ser atingido por uma revelação preocupante. Um desenvolvedor, conhecido na comunidade como Butterfly Effects, supostamente inseriu JavaScript malicioso em uma proposta de governança, pegando todos de surpresa. Desde o início do ano, parece que qualquer pessoa que tenha usado gateways IPFS para interagir com o Tornado Cash pode ter tido seus depósitos comprometidos, sendo enviados diretamente para um servidor sob o controle do suposto desenvolvedor.
Para quem não conhece, o Tornado Cash funciona como uma solução de privacidade sem custódia, permitindo que os usuários façam transações na rede Ethereum trac . Essa recente exploração envolve um trecho de código que deveria permanecer despercebido. Ele foi projetado para capturar notas de depósito e enviá-las para um servidor privado, tudo sob o pretexto de uma proposta de governança benigna.
Mas é aqui que as coisas ficam interessantes: a vulnerabilidade explorada tinha como alvo transações realizadas por meio de implementações do Tornado Cashno IPFS. Em outras palavras, se você interagiu com o Tornado Cash usando interfaces locais, pode respirar aliviado — você está livre de riscos, graças à transparência e auditabilidade das interações diretas portrac.
A exploração em si é uma obra engenhosa. Estou realmente impressionado com o trabalho. Basicamente, ela codifica notas de depósito privadas para se disfarçarem de dados de chamada, usando sorrateiramente a função window.fetch para transmitir essas informações confidenciais ao servidor do atacante.
A comunidade descobriu o código de exploração por meio de plataformas como o Cloudflare IPFS e suas ligações a um endereço Ethereum suspeito. No entanto, há um lado positivo: medidas de recuperação que usuários e a comunidade podem tomar para proteger seus ativos e a integridade do Tornado Cash. Uma medida importante envolve a migração para uma implementação recomendada do IPFS ContextHash, que pode proteger os usuários de danos futuros. Essa implementação foi validada por meio de propostas de governança anteriores.
Como de costume, a comunidade está se unindo, com entidades como a ZeroTwoDAO e os desenvolvedores do Gas404 defendendo uma postura proativa contra essas explorações. Seu apelo é para que os detentores de TORN exerçam seus direitos de voto e vetem propostas que possam conter código malicioso.
