Giữa những rắc rối khó giải quyết đang tồn tại, dịch vụ trộn tiền điện tử Tornado Cash đã bị hacker giành toàn quyền kiểm soát quản trị thông qua một đề xuất độc hại.
Vào ngày 20 tháng 5, kẻ tấn công đã cấp thành công 1,2 triệu phiếu bầu cho một đề xuất ác ý. Sau khi đề xuất đã nhận được hơn 700.000 phiếu bầu hợp pháp, kẻ tấn công đã giành được toàn quyền kiểm soát quản trị Tornado Cash.
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) May 20, 2023
Thông tin được chia sẻ bởi @samczsun của công ty đầu tư công nghệ định hướng nghiên cứu Paradigm, người đã tiết lộ rằng khi chia sẻ đề xuất độc hại, kẻ tấn công đã tuyên bố rằng nó sử dụng logic tương tự như đề xuất đã được cộng đồng thông qua trước đó. Tuy nhiên, lần này, đề xuất có một chức năng bổ sung.
Theo giải thích của @samczsun:
“Sau khi đề xuất được các cử tri thông qua, kẻ tấn công chỉ cần sử dụng chức năng EmergencyStop để cập nhật logic đề xuất nhằm tự cấp cho mình các phiếu bầu giả.”
Có toàn quyền kiểm soát quản trị Tornado Cash cho phép kẻ tấn công rút tất cả các phiếu bị khóa, rút tất cả các token trong hợp đồng quản trị và khiến bộ định tuyến trở nên vô hiệu. @samczsun cho biết tại thời điểm viết bài, kẻ tấn công “chỉ cần rút 10.000 phiếu bầu dưới dạng TORN và bán tất cả”.
Cuộc tấn công diễn ra như một lời nhắc nhở các nhà đầu tư tiền điện tử kiểm tra logic và mô tả đề xuất. Một cộng đồng tích cực của Tornado Cash, được quản lý bởi người có tên là Tornadosaurus-Hex hoặc Mr. Tornadosaurus Hex, đã xác nhận rằng tất cả các khoản tiền trong Governance đều có khả năng bị xâm phạm và yêu cầu tất cả các thành viên rút tất cả các khoản tiền bị khóa trong Governance.
Như đã trình bày ở trên, họ cũng đã cố gắng triển khai một hợp đồng có khả năng hoàn nguyên các thay đổi trong khi vẫn đề nghị cộng đồng rút tiền của họ. Một trong những nhà phát triển cộng đồng của Tornado Cash đã xác nhận những diễn biến trên, nêu rõ:
“Có một cuộc tấn công vào giao thức sáng nay mà bạn đã biết. Cả ngày, tôi và một nhà phát triển cộng đồng khác đã nghĩ xem phải làm gì, nhưng tình hình gần như vô vọng – hiện tại kẻ tấn công đang kiểm soát Governance.”
Nhóm hiện đang tìm kiếm các nhà phát triển Solidity có thể giúp cứu giao thức khỏi bị tuyệt chủng. Họ cũng tuyên bố rằng “chúng tôi cần liên hệ với Binance – sàn giao dịch có nhiều token hơn kẻ tấn công.”
Một cựu nhà phát triển Tornado Cash được cho là đang nỗ lực xây dựng một dịch vụ trộn tiền điện tử mới từ đầu, nhằm giải quyết “lỗ hổng nghiêm trọng” hiện có trong Tornado Cash.
1/ We fixed @tornadocash 😇
v0 of https://t.co/Nt4b2Tgx1D is live on @optimismFND
test out the demo, but please note:
– this is experimental code
– it has not been audited
– the trusted setup is untrustedread the full story anon 🧵👇https://t.co/9nAU3RrgpN
— Ameen Soleimani (@ameensol) March 4, 2023
Nhà phát triển hy vọng giải pháp này sẽ trao quyền cho “cộng đồng bảo vệ chống lại tin tặc lạm dụng quyền ẩn danh của người dùng trung thực mà không yêu cầu quy định chung chung hoặc hy sinh lý tưởng về tiền điện tử.”
Sau tin tức về vụ tấn công, giá token gốc TORN đã giảm sâu hơn 70% từ mức cao trong ngày là 7,4 đô la xuống mức thấp nhất là khoảng 2 đô la trước khi phục hồi về mức hiện tại. Vào thời điểm viết bài, giá token vẫn đang giảm hơn 31%.
Nguồn: TradingView
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter: https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Fork Tornado Cash, Privacy Pools, được triển khai trên Testnet Optimism
- Giá TORN tăng hơn 5% sau khi Tornado Cash mở khoá 175.000 token
Itadori
Theo Cointelegraph
