Tornado Cash 治理提案中发现恶意代码

Tornado Cash，这个在加密货币社区中代表着隐私、安全和争议的项目，近日遭遇了令人担忧的丑闻。一位在社区中被称为“蝴蝶效应”（Butterfly Effects）的开发者，涉嫌在治理提案中植入恶意 JavaScript 代码，令所有人措手不及。自年初以来，所有使用 IPFS 网关与 Tornado Cash 交互的用户，其存款记录可能已被泄露，并直接发送到由这位开发者控制的服务器。

对于不熟悉的人来说，Tornado Cash 是一种非托管隐私解决方案，允许用户在 Ethereum 网络上进行交易而不留下任何 trac。最近发生的这起漏洞利用事件，源于一段原本旨在不被察觉的代码。这段代码被设计用来窃取存款凭证，并将其转移到一个私有服务器，而这一切都伪装成一个无害的治理提案。

但有趣的是：此次漏洞利用的目标是通过 IPFS 部署的 Tornado Cash进行的交易。换句话说，如果您使用本地接口与 Tornado Cash 进行交互，那么您可以放心——由于直接trac交互的透明性和可审计性，您无需担心。

这个漏洞利用本身非常巧妙，着实令人印象深刻。它的基本原理是将私人存款记录编码伪装成交易数据，并偷偷利用 window.fetch 函数将这些敏感信息传输到攻击者的服务器。

社区通过 Cloudflare IPFS 等平台及其与可疑 Ethereum 地址的关联发现了漏洞利用代码。不过，好消息是用户和社区可以采取一些恢复措施来保护他们的资产和 Tornado Cash的完整性。其中一项重要措施是切换到推荐的 IPFS ContextHash 部署，这可以保护用户免受进一步的损害。该部署已通过之前的治理提案验证。

与往常一样，社区团结一致，ZeroTwoDAO 和 Gas404 等开发者积极倡导采取主动措施打击此类攻击。他们呼吁 TORN 持有者行使投票权，否决可能包含恶意代码的提案。