Máy trộn tiền điện tử phổ biến Tornado Cash đã mất hoàn toàn quyền kiểm soát quản trị của nó, với những kẻ tấn công triển khai các hợp đồng độc hại để thu thập hàng nghìn phiếu bầu.Sự cố này lần đầu tiên được phát hiện bởi @samczsun, một nhà nghiên cứu web3- Tập trung vào hãng đầu tư Paradigm, cuối tuần qua.
Theo samczsun’s tiếng riu ríunhững kẻ tấn công tuyên bố đã sử dụng logic tương tự như các đề xuất được thông qua trước đó để tạo đề xuất độc hại của chúng mà không tiết lộ rằng chúng đã thêm chức năng bổ sung.
Tuy nhiên, trong một diễn biến gần đây, những kẻ tấn công đã “xuất bản một đề xuất mới để khôi phục tình trạng quản trị”, theo một bài đăng trên diễn đàn cộng đồng Mixer.
Những kẻ tấn công TornadoCash đã triển khai các đề xuất mới, nếu được thực hiện, có vẻ như sẽ khôi phục thiệt hại đã gây ra cho các chức năng quản trị. Hoặc là họ đang troll khổng lồ, hoặc cuối cùng họ trở thành một bài học tốn kém nhưng không tai hại về an ninh quản trị.
– 0xdeadf4ce (@0xdface) 21 Tháng Năm, 2023
Những kẻ tấn công chiếm quyền quản lý tiền mặt Tornado
Ngay sau khi cử tri Tornado Cash thông qua đề xuất, kẻ khai thác đã triển khai tính năng dừng khẩn cấp và cập nhật logic đề xuất, tự thưởng cho mình 1,2 triệu phiếu bầu giả. Những kẻ tấn công có hơn 700.000 phiếu bầu hợp pháp, vì vậy chúng có toàn quyền kiểm soát việc quản trị bộ trộn tiền điện tử.
Với toàn quyền kiểm soát, kẻ tấn công có thể làm bất cứ điều gì họ muốn, chẳng hạn như rút tất cả phiếu bị khóa, rút tất cả mã thông báo trong hợp đồng quản trị và làm tắc nghẽn bộ định tuyến. Tuy nhiên, họ không thể thoát nước hồ cá nhân.
“Cuối cùng, chúng ta có thể học được gì từ điều này? Hãy cẩn thận với người mà bạn bầu chọn! Mặc dù tất cả chúng ta đều biết rằng các mô tả đề xuất có thể nói dối, logic đề xuất cũng vậy! Nếu bạn dựa vào mã nguồn đã được xác minh để không thay đổi, hãy đảm bảo hợp đồng không tự hủy khả năng,” samczsun cảnh báo.
Hơn 2,1 triệu đô la token TORN bị đánh cắp
Ngay sau khi đảm bảo hợp đồng cho Tornado Cash, những kẻ khai thác đã rút sạch 473.000 TORN – nguồn gốc của máy trộn token – Các hợp đồng quản trị trị giá hơn 2,1 triệu đô la, theo một tweet từ Web3 Media Group @WhaleCoinTalk.Thủ phạm bán tài sản trên chuỗi và gửi tiền lãi vào Tornado.
Tornadosaurus-Hex, một thành viên tích cực của cộng đồng Tornado Cash, xác nhận rằng cuộc tấn công đã làm tổn hại đến tất cả các quỹ quản trị và yêu cầu tất cả các thành viên rút tài sản bị khóa trong hợp đồng.
Trong khi kêu gọi người dùng rút tiền của họ, Tornadosaurus-Hex cũng đã cố gắng triển khai một hợp đồng có thể hoàn nguyên các thay đổi.
“Một giải pháp khả thi khả thi cho cuộc tấn công là trực tiếp hoàn nguyên các thay đổi trạng thái mà kẻ tấn công đã thực hiện đối với hợp đồng. Vì vậy, tôi đã triển khai một hợp đồng có thể thực hiện việc này… Vui lòng xem và đề xuất nếu có thể. Hãy xem liệu chúng tôi có thể vượt qua được không, nếu không tôi sẽ nói rằng chúng tôi tiêu rồi”, thành viên cộng đồng nói.
Hơi bất ngờ, nguồn gốc của dự án token Nó đã giảm mạnh sau khi tin tức nổi lên. TORN đã tăng lên 7,3 đô la vào ngày 20 tháng 5, nhưng đã giảm khoảng 40% trong vài ngày tới và hiện được giao dịch ở mức 4,5 đô la.
