Comunidade Tornado Cash em alerta máximo enquanto hackers ganham controle de governança

O Tornado Cash, um popular serviço de mistura de criptomoedas, perdeu o controle total de sua governança para um invasor que implantou um contrato malicioso, ganhando acesso a milhares de votos. O incidente foi detectado por um pesquisador da Paradigm, e o invasor afirmou ter usado uma lógica semelhante a uma proposta anterior.

No entanto, em um desenvolvimento mais recente, o invasor apresentou uma nova proposta para restaurar o estado de governança, conforme compartilhado no fórum da comunidade do Tornado Cash.

TornadoCash attacker deployed new proposal that, if executed, would seemingly revert the damage done to the Governance functionality. Either they're giga trolling or it will end up being an expensive but not disastrous lesson in Governance security.https://t.co/QMWYFsi8kP

— 0xdeadf4ce (@0xdface) May 21, 2023

Atacante toma controle da Tornado Cash Governance

Logo após a aprovação da proposta pelos eleitores do Tornado Cash, o invasor implementou a função EmergencyStop e manipulou a lógica da proposta, concedendo a si 1,2 milhão de votos falsos. Com mais de 700.000 votos legítimos, o invasor obteve controle total sobre a governança do serviço de mistura de criptomoedas. Agora, eles têm a capacidade de realizar diversas ações, como desbloquear todos os votos bloqueados, drenar os tokens do contrato de governança e bloquear o roteador. No entanto, não podem drenar pool individuais.

• Veja também: Como a informação se tornou um bem valioso na economia global

Conforme alertou SamczSun:

Finalmente, o que podemos aprender com isso? Cuidado com o que você vota! Embora todos saibamos que as descrições da proposta podem mentir, a lógica da proposta também pode mentir! Se você depende do código-fonte verificado para permanecer o mesmo, certifique-se de que o contrato não tenha a capacidade de se autodestruir.

Invasor rouba mais de US$ 2,1 milhões em tokens TORN

Logo após assumir o controle do contrato do Tornado Cash, o invasor drenou 473.000 TORN, no valor de mais de US$ 2,1 milhões, do contrato de governança.

Os ativos foram vendidos e os lucros depositados de volta no Tornado. Um membro da comunidade Tornado Cash confirmou o comprometimento de todos os fundos na governança e pediu que os usuários retirassem seus ativos bloqueados no contrato. Ao mesmo tempo, o membro tentou implantar um contrato para reverter as alterações efetuadas pelo invasor.

Conforme o comunicado do membro Tornadosaurus-Hex:

Uma solução proposta para o ataque que possivelmente pode ser viável é reverter diretamente as mudanças de estado que o atacante fez no contrato. Como tal, desenvolvi um contrato que deve ser capaz de fazer exatamente isso… Por favor, verifique e, se possível, proponha. Vamos ver se conseguimos, senão estamos fodidos, eu diria.

Depois que a notícia do hack veio a tona o token TORN teve uma grande desvalorização , cerca de 40% de seu valor caiu no dia 21/05, passando de US$ 7,30 para US$ 4,50.

No momento da edição deste artigo, o token TORN está sendo negociado a US$ 4,46, tendo um pequeno ganho de 0,28% nas últimas 24 horas e se comparado com a semana anterior a perda é de 30,91%.