Toàn quyền kiểm soát quản trị Tornado Cash cho phép kẻ tấn công rút tất cả các phiếu bầu vốn hóa, rút tất cả các Token trong hợp đồng quản trị và gạch bộ định tuyến.
Thêm vào các rào cản hiện có của bộ trộn tiền điện tử phi tập trung Tornado Cash, kẻ tấn công đã giành được toàn quyền kiểm soát quản trị thông qua một đề xuất độc hại.
Vào ngày 20 tháng 5 lúc 3:25 ET, kẻ tấn công đã cấp thành công 1,2 triệu phiếu bầu cho một đề xuất ác ý. Cho rằng đề xuất đã nhận được hơn 700.000 phiếu bầu hợp pháp, kẻ tấn công đã giành được toàn quyền kiểm soát quản trị Tornado Cash.
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) May 20, 2023
Như giải thích của @samczsun:
Sau khi đề xuất được các cử tri thông qua, kẻ tấn công chỉ cần sử dụng chức năng EmergencyStop để cập nhật logic đề xuất nhằm tự cấp cho mình các phiếu bầu giả.
Toàn quyền kiểm soát quản trị Tornado Cash cho phép kẻ tấn công rút tất cả các phiếu bầu vốn hóa, rút tất cả các Token trong hợp đồng quản trị và gạch bộ định tuyến. Tại thời điểm viết bài, kẻ tấn công chỉ cần rút 10.000 phiếu bầu dưới dạng TORN và bán tất cả, @samczsun cho biết.
Như đã trình bày ở trên, họ cũng đã cố gắng triển khai một hợp đồng có khả năng hoàn nguyên các thay đổi trong khi vẫn đề nghị cộng đồng rút tiền của họ. Cointelegraph cũng đã nhận được một cuộc gọi khẩn cấp từ một trong những nhà phát triển cộng đồng Tornado Cash, người đã xác nhận những diễn biến trên, nêu rõ:
Có một cuộc tấn công vào giao thức sáng nay mà bạn đã biết. Cả ngày, tôi và một nhà phát triển cộng đồng khác nghĩ xem phải làm gì, nhưng tình hình gần như vô vọng - hiện tại kẻ tấn công đang kiểm soát việc quản trị.
Một nhà phát triển cũ của Tornado Cash được cho là đang làm việc để xây dựng một dịch vụ trộn tiền điện tử mới từ đầu, nhằm giải quyết lỗ hổng nghiêm trọng tồn tại trong Tornado Cash.
1/ We fixed @tornadocash ????
— Ameen Soleimani (@ameensol) March 4, 2023
v0 of https://t.co/Nt4b2Tgx1D is live on @optimismFND
test out the demo, but please note:
- this is experimental code
- it has not been audited
- the trusted setup is untrusted
read the full story anon ????????https://t.co/9nAU3RrgpN
Tạp chí: 'Trách nhiệm đạo đức': Blockchain có thể thực sự cải thiện niềm tin vào AI không?
Theo CoinTelegraph
|
Tags: Blockchain, Tiền điện tử, Tin tặc,