- Um código javascript malicioso identificado na proposta de governança do Tornado Cash representa uma ameaça potencial.
- A proposta foi apresentada pela desenvolvedora da comunidade Tornado Cash, Butterfly Effects, há dois meses.
- Embora a vulnerabilidade seja identificada na versão IPFS, o hacker pode ser facilmente rastreado.
Relatórios recentes destacaram um código javascript malicioso presente na proposta de governança de dois meses introduzida pelo desenvolvedor da comunidade Tornado Cash, Butterfly Effects. De acordo com os resultados, os fundos depositados desde 1º de janeiro de 2024 estão em risco, representando uma exploração potencial.
O repórter cripto chinês Colin Wu compartilhou uma publicação em sua página oficial conhecida como Wu Blockchain, fornecendo insights sobre a vulnerabilidade identificada na proposta maliciosa. De acordo com sua postagem, a proposta de governança pode ter resultado no vazamento das notas de depósito do Tornado Cash para um servidor privado malicioso de propriedade da suposta incorporadora desde 1º de janeiro.
Notavelmente, a vulnerabilidade é identificada na versão IPFS do Tornado Cash. Enquanto o Tornado Cash é uma solução de privacidade descentralizada para transações cripto mantendo o anonimato, a versão IPFS é resistente à censura e vigilância. Assim, o código malicioso se tornou uma “armadilha escondida” para o golpista, já que a versão os rastrearia facilmente.
De acordo com o fundador do SlowMist, Yu Xian, o código malicioso na versão IPFS do Tornado Cash permite o sequestro de certificados de depósito. Embora haja indícios de que alguns fundos sejam roubados desde a aprovação da proposta, não está claro quantos usuários são afetados.
A comunidade pede aos usuários que alterem suas anotações usando a implantação recomendada do IPFS ContextHash, que foi usada anteriormente para tornadocash.eth. Além disso, a comunidade pediu aos usuários que votassem para vetar as propostas implantadas anteriormente para restringir qualquer possível exploração maliciosa oculta no contrato de proposta.
No ano passado, um hacker roubou mais de US$ 1 milhão por meio de uma proposta de governança maliciosa. Supostamente concedendo 1,2 milhão de votos à proposta malévola, eles ganharam controle sobre o protocolo de finanças descentralizadas (DeFi) da Tornado Cash, levando ao desvio de fundos.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
