攻击者通过恶意提案劫持Tornado Cash治理
对Tornado Cash治理的完全控制允许攻击者撤回所有锁定的选票,耗尽治理合约中的所有代币并使路由器变砖。
除了去中心化加密混合器Tornado Cash的现有障碍外,攻击者还设法通过恶意提议获得对治理的完全控制。
5月20日美国东部时间3:25,攻击者成功地向恶意提案授予了120万票。鉴于该提案获得了超过700000张合法选票,攻击者获得了对Tornado Cash治理的完全控制权。
该信息由研究驱动技术投资公司Paradigm的@samczsun分享,他透露,在分享恶意提案时,攻击者声称其使用了类似于社区先前通过的提案的逻辑。不过,这一次,提案多了一个功能。
正如@samczsun所解释的:
“一旦提案被选民通过,攻击者就可以简单地使用emergencyStop函数来更新提案逻辑,从而为自己授予虚假选票。”
对Tornado Cash治理的完全控制允许攻击者撤回所有锁定的选票,耗尽治理合约中的所有代币并使路由器变砖。在撰写本文时,攻击者“只是以TORN身份撤回了10000张选票并将其全部出售,”@samczsun说。
这次攻击提醒加密货币投资者审查提案描述和逻辑。一个名为Tornadosaurus-Hex或Mr. Tornadosaurus Hex的活跃的Tornado Cash社区证实,治理中的所有资金都可能受到损害,并要求所有成员撤回锁定在治理中的所有资金。
如上所示,他们还尝试部署一个可能会恢复更改的合约,同时仍然建议社区撤回他们的资金。Cointelegraph还收到了一位Tornado Cash社区开发人员的求救电话,他证实了上述事态发展,并指出:
“今天早上协议遭到攻击,你已经知道了。一整天,我和另一个社区开发人员都在考虑该怎么做,但情况几乎没有希望——目前攻击者控制着治理。”
该团队目前正在寻找可以帮助拯救该协议免于灭绝的Solidity开发人员。他们还表示,“我们需要与Binance联系——这个交易所拥有的代币比攻击者多。”
据报道,一位前Tornado Cash开发人员正致力于从头开始构建一种新的加密货币混合服务,以解决Tornado Cash中存在的“关键缺陷”。
开发人员希望该解决方案将使“社区能够抵御黑客滥用诚实用户的匿名集,而无需全面监管或牺牲加密理念。”
Scan QR code with WeChat