Tornado Cash, название которого в криптосообществе ассоциировалось с конфиденциальностью, безопасностью и противоречиями, недавно столкнулся с тревожным разоблачением. Разработчик, известный в сообществе как Butterfly Effects, предположительно внедрил вредоносный JavaScript в предложение по управлению, застав всех врасплох. С начала года, похоже, у всех, кто использовал шлюзы IPFS для взаимодействия с Tornado Cash могли быть скомпрометированы депозитные данные, которые затем отправлялись напрямую на сервер, контролируемый предполагаемым разработчиком.
Для тех, кто не в курсе, Tornado Cash — это решение для обеспечения конфиденциальности без необходимости хранения средств, позволяющее пользователям совершать транзакции в Ethereum , не оставляя trac . Недавняя уязвимость связана с фрагментом кода, который должен был остаться незамеченным. Он был разработан для перехвата депозитных средств и их перенаправления на частный сервер под видом безобидного предложения по управлению.
Но вот тут начинается самое интересное: уязвимость была нацелена на транзакции, совершаемые через развертывания Tornado Cashв IPFS. Другими словами, если вы взаимодействовали с Tornado Cash через локальные интерфейсы, можете вздохнуть с облегчением — вы в безопасности благодаря прозрачности и возможности аудита прямых взаимодействий поtrac.
Сам эксплойт — это искусно выполненная работа. Я действительно впечатлен проделанной работой. По сути, он кодирует конфиденциальные депозитные записи, чтобы замаскировать их под данные о звонках, незаметно используя функцию window.fetch для передачи этой конфиденциальной информации на сервер злоумышленника.
Сообщество обнаружило эксплойт-код через такие платформы, как Cloudflare IPFS, и его связь с подозрительным адресом Ethereum . Однако есть и положительный момент: пользователи и сообщество могут предпринять шаги для восстановления, чтобы защитить свои активы и целостность Tornado Cash. Одна из важных мер — переход на рекомендуемое развертывание IPFS ContextHash, которое может защитить пользователей от дальнейшего ущерба. Это развертывание проверено в рамках предыдущих предложений по управлению.
Как обычно, сообщество объединяется, и такие организации, как ZeroTwoDAO и разработчики Gas404, выступают за активную борьбу с подобными эксплойтами. Они призывают владельцев TORN воспользоваться своим правом голоса и наложить вето на предложения, которые могут содержать вредоносный код.
