공격자는 악의적인 제안을 통해 Tornado Cash 거버넌스를 탈취했습니다.

Tornado Cash 거버넌스에 대한 완전한 제어를 통해 공격자는 잠긴 투표를 모두 철회하고 거버넌스 계약의 모든 토큰을 빼내고 라우터를 차단할 수 있습니다.

분산형 암호화폐 믹서인 Tornado Cash의 기존 장애물에 더해 공격자는 악의적인 제안을 통해 거버넌스에 대한 완전한 통제권을 획득했습니다.

5월 20일 동부 표준시 3시 25분에 공격자는 악의적인 제안에 120만 표를 성공적으로 부여했습니다. 제안이 700,000개 이상의 합법적인 투표를 받았다는 점을 고려하면 공격자는 Tornado Cash 거버넌스에 대한 완전한 통제권을 얻었습니다.

2023/05/20 07:25:11 UTC에 Tornado Cash 거버넌스는 사실상 중단되었습니다. 악의적인 제안을 통해 공격자는 자신에게 1,200,000표를 부여했습니다. 이는 ~700,000개의 합법적인 투표보다 높기 때문에 이제 그들은 모든 권한을 갖습니다. https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz

@samczsun의 설명에 따르면:

“유권자에 의해 제안이 통과되면 공격자는 단순히 EmergencyStop 기능을 사용하여 가짜 투표를 허용하도록 제안 로직을 업데이트했습니다.”

위에서 볼 수 있듯이 그들은 잠재적으로 변경 사항을 되돌릴 수 있는 계약 배포를 시도하면서도 여전히 커뮤니티에 자금 철회를 제안했습니다. Cointelegraph는 또한 위의 개발 내용을 확인한 Tornado Cash의 커뮤니티 개발자 중 한 명으로부터 다음과 같은 조난 전화를 받았습니다.

관련 항목: Allbridge는 플래시 대출 공격으로 573,000달러를 훔친 착취자에게 현상금을 제공합니다.

전직 Tornado Cash 개발자가 Tornado Cash에 존재하는 "중요한 결함"을 해결하는 새로운 암호화폐 믹싱 서비스를 처음부터 구축하기 위해 노력하고 있는 것으로 알려졌습니다.

1/ https://t.co/Nt4b2Tgx1D의 @tornadocash 😇v0이 데모의 @optimismFNDtest에 게시되어 있지만 참고하세요:- 이것은 실험적인 코드입니다. 감사되지 않았습니다. 신뢰할 수 있는 설정은 신뢰할 수 없습니다. 전체를 읽어보세요. 이야기는 곧 🧵👇https://t.co/9nAU3RrgpN

반응 추가

반응 추가