Il controllo completo della governance di Tornado Cash DAO è stato acquisito da un utente malintenzionato attraverso una proposta dannosa approvata dal bicchiere crittografico decentralizzato.
Sfortunatamente, l’individuo o il gruppo responsabile non sono ancora stati identificati. Di conseguenza, le attività future, i fondi e le operazioni di gestione del mixer di criptovalute incentrato sulla privacy del DAO, Tornado Cash, sono stati compromessi. Si consiglia di mantenere la massima attenzione e di adottare misure appropriate per ripristinare il controllo della governance in modo sicuro ed efficace.
La stabilità della governance di Tornado Cash viene attualmente messa a serio rischio
Tornado Cash è un servizio di miscelazione di criptovalute che utilizza le reti di macchine virtuali Ethereum. Ultimamente, il Tesoro degli Stati Uniti ha sanzionato questo servizio. Il sistema è gestito tramite un’organizzazione autonoma decentralizzata chiamata DAO, che permette a tutti i titolari dei token di bloccare le loro partecipazioni come voti per proporre eventuali modifiche al progetto.
Nel corso del fine settimana, un attaccante ha utilizzato una proposta fraudolenta che potenzialmente ha colpito la funzione di codice, concedendo voti falsi che ora possono essere utilizzati per gestire alcuni aspetti del Tornado Cash. I token TORN, insieme ai DAO, sono detenuti nel contratto di governance principale o bloccati nei prelievi di token TORN.
Il sistema di governance di Tornado Cash gestisce gli aggiornamenti del protocollo, dipendendo principalmente dai titolari dei token TORN del progetto. In generale, la sicurezza e l’integrità del progetto non devono essere compromesse.
I DAO, comprensivi dei token TORN, sono custoditi all’interno del contratto di governance principale o vincolati nei prelievi dei token TORN. Il sistema di governance di Tornado Cash gestisce gli aggiornamenti del protocollo, che sono principalmente decisi dai titolari di token TORN del progetto. Nel maggio 20, il sistema di governance ha approvato un aggiornamento ritenuto simile a quello precedente già autorizzato. Tuttavia, questa affermazione si è rivelata falsa, poiché un attaccante non identificato aveva introdotto una funzione aggiuntiva, come segnalato da Samczsun, un noto ricercatore di sicurezza. Inoltre, ha precisato che ora gli aggressori detengono tutti i voti e godono di completa libertà di decidere cosa fare. Nella vicenda emersa, hanno infatti optato per ritirare 10.000 token TORN e venderli tutti.
Dopo aver completato l’aggiornamento, l’attaccante ha utilizzato la funzione per consegnare ulteriori 1,2 milioni di voti, acquisendo il controllo assoluto sull’intero sistema di governance. I 10.000 voti in token TORN sono stati venduti per una somma di 25.600 dollari, eliminando i restanti voti bloccati. Il caveau ha segnalato una sottrazione di 483.000 token TORN, mentre 6.000 sono stati depositati su Bitrue, una popolare borsa di criptovalute. 379.000 dei token sono stati venduti on-chain per una quantità di Ether del valore di 680.000 dollari. Gli attaccanti detengono attualmente circa 100.000 token TORN.
Tuttavia, è importante sottolineare che l’attacco subito non ha avuto alcuna ripercussione sul protocollo Tornado Cash, il quale consente ai suoi utenti di oscurare o nascondere i movimenti di fondi e indirizzi digitali tramite il servizio erogato. Si precisa inoltre che l’attacco non ha sfruttato alcuna delle tecnologie o dei contratti intelligenti riguardanti le operazioni di Tornado Cash.
Secondo le affermazioni di Wu Blockchain, Binance avrebbe dichiarato l’interruzione di tutte le transazioni che utilizzano TORN, mentre Justin Sun ha tweettato che i depositi e i prelievi di token TORN rimangono disponibili su Huobi. Nel frattempo, la comunità di Tornado Cash ha presentato nuove proposte per ripristinare le modifiche apportate al codice. Il tutto nell’ambito di un clima di attenzione e cautela da parte degli operatori di criptovalute, con un occhio sempre vigile sugli sviluppi del settore.