Tornado Cash,这个在加密货币社区中代表着隐私、安全和争议的项目,近日遭遇了令人担忧的丑闻。一位在社区中被称为“蝴蝶效应”(Butterfly Effects)的开发者,涉嫌在治理提案中植入恶意 JavaScript 代码,令所有人措手不及。自年初以来,所有使用 IPFS 网关与 Tornado Cash 交互的用户,其存款记录可能已被泄露,并直接发送到由这位开发者控制的服务器。
对于不熟悉的人来说,Tornado Cash是一种非托管隐私解决方案,允许用户在Ethereum网络上进行交易而不留下任何trac。最近发生的这起漏洞利用事件,源于一段原本旨在不被察觉的代码。这段代码被设计用来窃取存款凭证,并将其转移到一个私有服务器,而这一切都伪装成一个无害的治理提案。
但有趣的是:此次漏洞利用的目标是通过 IPFS 部署的 Tornado Cash进行的交易。换句话说,如果您使用本地接口与 Tornado Cash 进行交互,那么您可以放心——由于直接trac交互的透明性和可审计性,您无需担心。
这个漏洞利用本身非常巧妙,着实令人印象深刻。它的基本原理是将私人存款记录编码伪装成交易数据,并偷偷利用 window.fetch 函数将这些敏感信息传输到攻击者的服务器。
社区通过 Cloudflare IPFS 等平台及其与可疑 Ethereum 地址的关联发现了漏洞利用代码。不过,好消息是用户和社区可以采取一些恢复措施来保护他们的资产和 Tornado Cash的完整性。其中一项重要措施是切换到推荐的 IPFS ContextHash 部署,这可以保护用户免受进一步的损害。该部署已通过之前的治理提案验证。
与往常一样,社区团结一致,ZeroTwoDAO 和 Gas404 等开发者积极倡导采取主动措施打击此类攻击。他们呼吁 TORN 持有者行使投票权,否决可能包含恶意代码的提案。
