- 토네이도 캐시의 거버넌스 제안서에서 발견된 악성 자바스크립트 코드가 잠재적인 위협이 될 수 있다.
- 이 제안은 두 달 전 토네이도 캐시 커뮤니티 개발자 버터플라이 이펙트에 의해 소개되었다.
- 이 취약점은 IPFS 버전에서 확인되었지만 해커를 쉽게 추적할 수 있다.
최근 보도에서는 토네이도 캐시 커뮤니티 개발자인 버터플라이 이펙트가 두 달 전에 소개한 거버넌스 제안서에 악성 자바스크립트 코드가 존재한다고 강조했다. 조사 결과에 따르면 2024년 1월 1일 이후 예치된 자금이 위험에 노출되어 있으며, 잠재적인 악용 가능성이 있다고 한다.
중국의 암호화폐 전문 기자 콜린 우는 자신의 공식 페이지인 우 블록체인을 통해 악성 제안에서 확인된 취약점에 대한 인사이트를 제공하는 게시물을 공유했다. 그의 게시물에 따르면, 해당 거버넌스 제안으로 인해 1월 1일 이후 토네이도 캐시의 예치금이 개발자가 소유한 개인 악성 서버로 유출되었을 수 있다고 한다.
특히 이 취약점은 토네이도 캐시의 IPFS 버전에서 확인되었다. 토네이도 캐시는 익명성을 유지하는 암호화폐 거래를 위한 탈중앙화 프라이버시 솔루션이지만, IPFS 버전은 검열과 감시에 취약하다. 따라서 이 버전은 사기꾼이 쉽게 추적할 수 있기 때문에 악성 코드가 사기꾼에게 ‘숨겨진 함정’이 되었다.
슬로우미스트의 설립자 유 시안에 따르면, 토네이도 캐시 IPFS 버전의 악성 코드는 예금 인증서를 탈취할 수 있다고 한다. 제안이 승인된 이후 일부 자금이 도난당했다는 힌트가 있지만, 얼마나 많은 사용자가 영향을 받았는지는 불분명하다.
커뮤니티는 사용자들에게 이전에 tornadocash.eth에 사용되었던 권장 IPFS 컨텍스트해시 배포를 사용하여 노트를 변경할 것을 촉구하고 있다. 또한, 커뮤니티는 제안 계약에 숨겨진 악의적인 악용 가능성을 제한하기 위해 이전에 배포된 제안에 대해 거부권을 행사할 수 있도록 투표를 요청했다.
작년에 한 해커가 악의적인 거버넌스 제안을 통해 100만 달러 이상을 탈취한 사건이 있었다. 악의적인 제안에 120만 표를 부여한 것으로 추정되는 해커는 토네이도 캐시의 탈중앙화 금융(DeFi) 프로토콜을 장악하여 자금을 횡령한 것으로 밝혀졌다.
면책 조항: 이 가격 분석에서 공유된 모든 정보뿐만 아니라 견해와 의견은 선의로 게시됩니다. 독자는 스스로 조사하고 실사를 수행해야 합니다. 독자가 취한 모든 조치는 전적으로 본인의 책임이며 코인에디션 및 계열사는 직간접적인 피해나 손실에 대해 책임을 지지 않습니다.