Un code malveillant dans la proposition de gouvernance de Tornado Cash présente des risques

Last Updated:
TornadoCash
  • Un code JavaScript malveillant identifié dans la proposition de gouvernance de Tornado Cash constitue une menace potentielle.
  • La proposition a été introduite par le développeur communautaire de Tornado Cash, Butterfly Effects, il y a deux mois.
  • Bien que la vulnérabilité soit identifiée dans la version IPFS, le pirate peut être facilement suivi.

Des rapports récents ont mis en évidence un code JavaScript malveillant présent dans la proposition de gouvernance vieille de deux mois introduite par le développeur de la communauté Tornado Cash, Butterfly Effects. Selon les conclusions, les fonds déposés depuis le 1er janvier 2024 sont à risque, ce qui constitue un exploit potentiel.

Le journaliste crypto chinois Colin Wu a partagé un message X sur sa page officielle connue sous le nom de Wu Blockchain, fournissant des informations sur la vulnérabilité identifiée dans la proposition malveillante. Selon son message, la proposition de gouvernance pourrait avoir entraîné la fuite des notes de dépôt de Tornado Cash vers un serveur privé malveillant appartenant au développeur présumé depuis le 1er janvier.

Notamment, la vulnérabilité est identifiée dans la version IPFS de Tornado Cash. Alors que Tornado Cash est une solution de confidentialité décentralisée pour les transactions cryptographiques préservant l’anonymat, la version IPFS résiste à la censure et à la surveillance. Ainsi, le code malveillant est devenu un « piège caché » pour l’escroc, car la version le suivrait facilement.

Selon le fondateur de SlowMist, Yu Xian, le code malveillant de la version IPFS de Tornado Cash permet le détournement de certificats de dépôt. Bien qu’il y ait des indices que certains fonds ont été volés depuis l’approbation de la proposition, on ne sait pas combien d’utilisateurs sont concernés.

La communauté exhorte les utilisateurs à modifier leurs notes à l’aide du déploiement IPFS ContextHash recommandé qui était précédemment utilisé pour tornadocash.eth. De plus, la communauté a demandé aux utilisateurs de voter pour opposer leur veto aux propositions précédemment déployées afin de restreindre tout éventuel exploit malveillant caché sur le contrat de proposition.

L’année dernière, un pirate informatique a volé plus d’un million de dollars par le biais d’une proposition de gouvernance malveillante. En accordant prétendument 1,2 million de voix à la proposition malveillante, ils ont pris le contrôle du protocole de finance décentralisée (DeFi) de Tornado Cash, ce qui a conduit au détournement de fonds.

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.