Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
- По версии следствия, разработчик внедрил вредоносный JavaScript в предложение по управлению Tornado Cash , в результате чего стали доступны данные о депозитах пользователей с 1 января.
- Уязвимость была направлена конкретно на пользователей Tornado Cash , использующих шлюзы IPFS, что создавало риск утечки и кражи их средств.
- Технический анализ выявил механизм эксплойт-кода, предназначенный для скрытой пересылки денежных средств на сервер злоумышленника.
Tornado Cash, название которого в криптосообществе ассоциировалось с конфиденциальностью, безопасностью и противоречиями, недавно столкнулся с тревожным разоблачением. Разработчик, известный в сообществе как Butterfly Effects, предположительно внедрил вредоносный JavaScript в предложение по управлению, застав всех врасплох. С начала года, похоже, у всех, кто использовал шлюзы IPFS для взаимодействия с Tornado Cash могли быть скомпрометированы депозитные данные, которые затем отправлялись напрямую на сервер, контролируемый предполагаемым разработчиком.
Для тех, кто не в курсе, Tornado Cash — это решение для обеспечения конфиденциальности без необходимости хранения средств, позволяющее пользователям совершать транзакции в Ethereum , не оставляя trac. Недавняя уязвимость связана с фрагментом кода, который должен был остаться незамеченным. Он был разработан для перехвата депозитных средств и их перенаправления на частный сервер под видом безобидного предложения по управлению.
Но вот тут начинается самое интересное: уязвимость была нацелена на транзакции, совершаемые через развертывания Tornado Cashв IPFS. Другими словами, если вы взаимодействовали с Tornado Cash через локальные интерфейсы, можете вздохнуть с облегчением — вы в безопасности благодаря прозрачности и возможности аудита прямых взаимодействий поtrac.
Сам эксплойт — это искусно выполненная работа. Я действительно впечатлен проделанной работой. По сути, он кодирует конфиденциальные депозитные записи, чтобы замаскировать их под данные о звонках, незаметно используя функцию window.fetch для передачи этой конфиденциальной информации на сервер злоумышленника.
Сообщество обнаружило эксплойт-код через такие платформы, как Cloudflare IPFS, и его связь с подозрительным адресом Ethereum . Однако есть и положительный момент: пользователи и сообщество могут предпринять шаги для восстановления, чтобы защитить свои активы и целостность Tornado Cash. Одна из важных мер — переход на рекомендуемое развертывание IPFS ContextHash, которое может защитить пользователей от дальнейшего ущерба. Это развертывание проверено в рамках предыдущих предложений по управлению.
Как обычно, сообщество объединяется, и такие организации, как ZeroTwoDAO и разработчики Gas404, выступают за активную борьбу с подобными эксплойтами. Они призывают владельцев TORN воспользоваться своим правом голоса и наложить вето на предложения, которые могут содержать вредоносный код.
Не просто читайте новости о криптовалютах. Разберитесь в них. Подпишитесь на нашу рассылку. Это бесплатно.
Предупреждение: Предоставленная информация не является торговой рекомендацией. Cryptopolitanне несет ответственности за любые инвестиции, совершенные на основе информации, представленной на этой странице. Мыtronрекомендуем провести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Джай Хамид
Джай Хамид последние 6 лет освещает криптовалюты, фондовые рынки, технологии, мировую экономику и геополитические события, влияющие на рынки. Она сотрудничала с изданиями, посвященными блокчейну, такими как AMB Crypto, Coin Edition и CryptoTale, занимаясь анализом рынка, крупными компаниями, регулированием и макроэкономическими тенденциями. Она училась в Лондонской школе журналистики и трижды делилась своими взглядами на криптовалютный рынок на одном из ведущих телеканалов Африки.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)