Kẻ tấn công chiếm quyền quản trị Tornado Cash thông qua đề xuất độc hại

Một kẻ tấn công đã thành công trong việc chiếm quyền điều hành của Tornado Cash, một nền tảng tiền điện tử phi tập trung, bằng cách đệ trình đề xuất độc hại. Điều này làm gia tăng thêm các trở ngại hiện có mà nền tảng đang đối mặt.

Một cá nhân đã có thể thêm 1,2 triệu phiếu cho một đề xuất có hại vào lúc 3:25 chiều giờ đông đảo vào ngày 20 tháng 5, dẫn đến việc họ giành quyền kiểm soát hoàn toàn quản trị Tornado Cash. Mặc dù đã nhận được hơn 700,000 phiếu bầu hợp lệ, sức ảnh hưởng của kẻ tấn công đã vượt qua của những người bình thường.

On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— samczsun (@samczsun) May 20, 2023

Kẻ tấn công đã đề xuất một đề xuất độc hại cho cộng đồng và cho rằng đề xuất này sử dụng cùng một logic với một đề xuất đã được cộng đồng thông qua trước đó. Tuy nhiên, lần này, đề xuất có một chức năng bổ sung. Thông tin này được chia sẻ bởi @samczsun từ Paradigm, một công ty đầu tư công nghệ tập trung vào nghiên cứu.

Xem thêm: Deesse (LOVE) là gì? Toàn bộ thông tin về dự án Deesse

Theo giải thích của @samczsun:

“Sau khi đề xuất được các cử tri thông qua, kẻ tấn công chỉ cần sử dụng chức năng EmergencyStop để cập nhật logic đề xuất nhằm tự cấp cho mình các phiếu bầu giả.”

Kẻ tấn công đã kiểm soát hoàn toàn quản trị Tornado Cash, cho phép họ rút toàn bộ số phiếu bầu bị khóa, rút hết token trong hợp đồng quản trị và làm cho bộ định tuyến không thể hoạt động. Theo @samczsun, kẻ tấn công đã rút 10,000 phiếu bầu TORN và bán chúng.

Cuộc tấn công gần đây vào hệ thống quản trị của Tornado Cash nhắc nhở nhà đầu tư tiền điện tử cần phải kiểm tra kỹ mô tả và logic của các đề xuất.

Thành viên cộng đồng Tornado Cash, được biết đến với tên là Tornadosaurus-Hex hoặc Mr Tornadosaurus Hex, đã xác nhận rằng tất cả các quỹ trong Hệ thống Quản trị có thể đã bị xâm nhập và đã kêu gọi tất cả các thành viên rút tiền khỏi hệ thống.

Các nhà phát triển cộng đồng của Tornado Cash đã cố gắng ngăn chặn việc triển khai một hợp đồng độc hại đã rút hơn 10,000 ETH từ liquidity pool của giao thức. Các nhà phát triển cũng đề xuất cộng đồng rút tiền khỏi giao thức. Ngoài ra, họ cũng đã cố gắng triển khai một hợp đồng có thể đảo ngược các thay đổi được thực hiện bởi kẻ tấn công. Một nhà phát triển cộng đồng đã xác nhận những sự kiện này và phát đi lời kêu cứu.

Xem thêm: Privacy Pools là gì? Giao thức bảo vệ quyền riêng tư trên Blockchain

Tin Tức Bitcoin tổng hợp.