As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Código malicioso encontrado na proposta de governança do Tornado Cash
- Um desenvolvedor supostamente inseriu um código JavaScript malicioso em uma proposta de governança do Tornado Cash , expondo os registros de depósitos dos usuários desde 1º de janeiro.
- A vulnerabilidade explorada tinha como alvo específico os usuários do Tornado Cash por meio de gateways IPFS, expondo e expondo seus fundos ao risco de roubo.
- A análise técnica revelou o mecanismo do código de exploração, projetado para encaminhar secretamente notas de depósito para o servidor do atacante.
Tornado Cash, um nome que representava privacidade, segurança e controvérsia na comunidade cripto, acaba de ser atingido por uma revelação preocupante. Um desenvolvedor, conhecido na comunidade como Butterfly Effects, supostamente inseriu JavaScript malicioso em uma proposta de governança, pegando todos de surpresa. Desde o início do ano, parece que qualquer pessoa que tenha usado gateways IPFS para interagir com o Tornado Cash pode ter tido seus depósitos comprometidos, sendo enviados diretamente para um servidor sob o controle do suposto desenvolvedor.
Para quem não conhece, o Tornado Cash funciona como uma solução de privacidade sem custódia, permitindo que os usuários façam transações na rede trac. Essa recente exploração envolve um trecho de código que deveria permanecer despercebido. Ele foi projetado para capturar notas de depósito e enviá-las para um servidor privado, tudo sob o pretexto de uma proposta de governança benigna. Ethereum sem deixar
Mas é aqui que as coisas ficam interessantes: a vulnerabilidade explorada tinha como alvo transações realizadas por meio de implementações do Tornado Cashno IPFS. Em outras palavras, se você interagiu com o Tornado Cash usando interfaces locais, pode respirar aliviado — você está livre de riscos, graças à transparência e auditabilidade das interações diretas portrac.
A exploração em si é uma obra engenhosa. Estou realmente impressionado com o trabalho. Basicamente, ela codifica notas de depósito privadas para se disfarçarem de dados de chamada, usando sorrateiramente a função window.fetch para transmitir essas informações confidenciais ao servidor do atacante.
A comunidade descobriu o código de exploração por meio de plataformas como o Cloudflare IPFS e suas ligações a um endereço Ethereum suspeito. No entanto, há um lado positivo: medidas de recuperação que usuários e a comunidade podem tomar para proteger seus ativos e a integridade do Tornado Cash. Uma medida importante envolve a migração para uma implementação recomendada do IPFS ContextHash, que pode proteger os usuários de danos futuros. Essa implementação foi validada por meio de propostas de governança anteriores.
Como de costume, a comunidade está se unindo, com entidades como a ZeroTwoDAO e os desenvolvedores do Gas404 defendendo uma postura proativa contra essas explorações. Seu apelo é para que os detentores de TORN exerçam seus direitos de voto e vetem propostas que possam conter código malicioso.
Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Assine nossa newsletter. É grátis.
Aviso: As informações fornecidas não constituem aconselhamento de investimento. Cryptopolitannão se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Jai Hamid
Jai Hamid cobre criptomoedas, mercados de ações, tecnologia, economia global e eventos geopolíticos que afetam os mercados há seis anos. Ela trabalhou com publicações focadas em blockchain, incluindo AMB Crypto, Coin Edition e CryptoTale, em análises de mercado, grandes empresas, regulamentação e tendências macroeconômicas. Ela estudou na London School of Journalism e compartilhou três vezes suas análises sobre o mercado de criptomoedas em uma das principais redes de TV da África.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)