Merkeziyetsiz kripto platformu Tornado Cash'in mevcut güvenlik engellerine ek olarak, bir saldırgan kötü niyetli bir teklif yoluyla yönetişimin tam kontrolünü ele geçirmeyi başardı. 

Saldırgan, 20 Mayıs saat 3:25 ET'de bir saldırgan kötü niyetli bir teklife 1,2 milyon oy vermeyi başardı. Teklifin 700.000'den fazla meşru oy aldığı göz önüne alındığında, saldırgan Tornado Cash yönetişimi üzerinde tam kontrol sahibi oldu.

Tornado Cash ile ilgili bilgi, araştırma odaklı teknoloji yatırım şirketi Paradigm'dan @samczsun tarafından paylaşıldı. Saldırganın kötü niyetli teklifi paylaşırken, daha önce topluluktan geçen bir teklife benzer bir mantık kullandığını iddia ettiği ortaya çıktı. Ancak bu kez teklif kötü niyetliydi.

@samczsun tarafından açıklandığı gibi:

Öneri seçmenler tarafından kabul edildikten sonra saldırgan, teklife sahte oylar vermek üzere öneri mantığını güncellemek için basitçe emergencyStop işlevini kullanmıştır.

Tornado Cash yönetişimi 

Tornado Cash yönetişimi üzerindeki tam kontrol, saldırganın kilitli oyların tümünü geri çekmesine, yönetişim sözleşmesindeki tüm token'ları boşaltmasına ve yönlendiriciyi etkisiz hale getirmesine yol açtı. Bu yazının yazıldığı sırada, @samczsun, saldırgan sadece 10.000 oyu TORN olarak geri çektiğini ve hepsini sattığını belirtti.

Saldırı, kripto yatırımcılarına teklif açıklamalarını ve mantığını incelemeleri için bir hatırlatma olarak geliyor. Tornadosaurus-Hex ya da Bay Tornadosaurus Hex adıyla bilinen aktif bir Tornado Cash topluluğu, yönetişimdeki tüm fonların potansiyel olarak tehlikede olduğunu doğruladı ve tüm üyelerden yönetişimde kilitli olan tüm fonları çekmelerini istedi.

Yukarıda gösterildiği gibi, Tornado Cash, topluluğun fonlarını geri çekmesini önerirken, değişiklikleri potansiyel olarak geri alabilecek bir sözleşme dağıtmaya da çalıştılar. Cointelegraph ayrıca Tornado Cash'in topluluk geliştiricilerinden birinden gelen ve yukarıdaki gelişmeleri doğrulayan bir yardım çağrısına da rastladı:

Bu sabah protokole zaten bildiğiniz bir saldırı oldu. Bütün gün, başka bir topluluk geliştiricisi ve ben ne yapacağımızı düşündük, ancak durum umutsuzluğa yakın. Şu anda saldırgan yönetişim'i kontrol ediyor.

Ekip şu anda protokolü yok olmaktan kurtarmaya yardımcı olabilecek Solidity geliştiricilerini arıyor. Ayrıca, ekip şunları söyledi:

Binance ile temasa geçmemiz gerekiyor. Bu borsada saldırgandan daha fazla token var.

Eski bir Tornado Cash geliştiricisinin, Tornado Cash'te mevcut olan "kritik kusuru" ele alan, sıfırdan yeni bir kripto karıştırma hizmeti oluşturmak için çalıştığı bildiriliyor.

 
Geliştirici, çözümün topluluğu, genel bir düzenleme gerektirmeden veya kripto prensiplerinden ödün vermeden dürüst kullanıcıların anonimlik setlerini kötüye kullanan bilgisayar korsanlarına karşı savunma konusunda güçlendireceğini umuyor.