- Un código javascript malicioso identificado en la propuesta de gobernanza de Tornado Cash representa una amenaza potencial.
- La propuesta fue presentada por el desarrollador de la comunidad de Tornado Cash, Butterfly Effects, hace dos meses.
- Si bien la vulnerabilidad está identificada en la versión IPFS, el pirata informático podría ser rastreado fácilmente.
Informes recientes destacaron un código javascript malicioso presente en la propuesta de gobernanza de dos meses de antigüedad presentada por el desarrollador de la comunidad de Tornado Cash, Butterfly Effects. Según los hallazgos, los fondos depositados desde el 1 de enero de 2024 están en riesgo, lo que representa un posible exploit.
El criptoreportero chino Colin Wu compartió una publicación X en su página oficial conocida como Wu Blockchain, proporcionando información sobre la vulnerabilidad identificada en la propuesta maliciosa. Según su publicación, la propuesta de gobernanza podría haber resultado en la filtración de las notas de depósito de Tornado Cash a un servidor malicioso privado propiedad del presunto desarrollador desde el 1 de enero.
En particular, la vulnerabilidad se identifica en la versión IPFS de Tornado Cash. Mientras que Tornado Cash es una solución de privacidad descentralizada para transacciones criptográficas que mantiene el anonimato, la versión IPFS es resistente a la censura y la vigilancia. Por lo tanto, el código malicioso se ha convertido en una «trampa oculta» para el estafador, ya que la versión los rastrearía fácilmente.
Según el fundador de SlowMist, Yu Xian, el código malicioso en la versión IPFS de Tornado Cash permite el secuestro de certificados de depósito. Aunque hay indicios de que algunos fondos han sido robados desde la aprobación de la propuesta, no está claro cuántos usuarios se verán afectados.
La comunidad insta a los usuarios a cambiar sus notas utilizando la implementación recomendada de IPFS ContextHash que se utilizó anteriormente para tornadocash.eth. Además, la comunidad pidió a los usuarios que votaran para vetar las propuestas implementadas anteriormente para restringir cualquier posible exploit malicioso oculto en el contrato de la propuesta.
El año pasado, un hacker robó más de 1 millón de dólares a través de una propuesta de gobernanza maliciosa. Supuestamente otorgando 1.2 millones de votos a la malévola propuesta, obtuvieron el control del protocolo de finanzas descentralizadas (DeFi) de Tornado Cash, lo que llevó a la malversación de fondos.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.