Tornado Cash, binlerce oya erişmek için kötü niyetli bir sözleşme kullanan bir saldırgana karşı yönetişiminin kontrolünü tamamen kaybetti. Olay ilk olarak hafta sonu web3 odaklı yatırım firması Paradigm'de araştırmacı olan @samczsun tarafından tespit edildi.

Samczsun'un tweet'ine göre saldırgan, kötü niyetli teklifini oluştururken, fazladan bir işlev eklediğini açıklamadan, daha önce kabul edilen bir teklifle aynı mantığı kullandığını iddia etti.

Son gelişmeye göre, Tornado Cash'ın topluluk forumundaki bir gönderide, saldırgan yönetişim durumunu eski haline getirmek yani yönetişimi Tornado Cash'e teslim etmek için yeni bir teklif yayınladı.

Saldırgan Tornado Cash yönetişimini ele geçirdi

Tornado Cash seçmenleri teklifi kabul ettikten hemen sonra, istismarcı emergencyStop işlevini uyguladı ve kendilerine 1,2 milyon sahte oy vermek için teklif mantığını güncelledi. Saldırganın oyları 700.000 meşru oydan daha fazlaydı. Bu nedenle saldırgan, Tornado Cash'in yönetişiminin tam kontrolünü ele geçirmiş oldu.

Tam kontrol ile saldırgan, tüm kilitli oyları geri çekmek, yönetim sözleşmesindeki tüm token'ları boşaltmak ve yönlendiriciyi etkisiz hale getirmel gibi istediği her şeyi yapabilir. Tornado Cash, konuyla ilgili şu açıklamayı yaptı:

...Son olarak, bundan ne öğrenebiliriz? Neye oy verdiğinize dikkat edin! Hepimiz teklif açıklamalarının yalan söyleyebileceğini bilsek de teklif mantığı da yalan söyleyebilir! Doğrulanmış kaynak kodun aynı kalacağına güveniyorsanız, sözleşmenin kendi kendini imha etme özelliğine sahip olmadığından emin olun.

2,1 milyon doların üzerinde TORN token'ı çalındı

Web3 medya grubu @WhaleCoinTalk'tan gelen bir tweet'e göre, Tornado Cash'in sözleşmesini ele geçirdikten kısa bir süre sonra, istismarcı, yönetişim sözleşmesinden 2,1 milyon dolardan fazla değere sahip 473.000 TORN çaldı. İstismarcı, varlıkları zincir üzerinde sattı ve elde ettiği kârı tekrar Tornado'ya yatırdı.

Tornado Cash topluluğunun aktif bir üyesi olan Tornadosaurus-Hex, saldırının yönetişimdeki tüm fonları tehlikeye attığını doğruladı ve tüm üyelerden sözleşmede kilitli olan varlıklarını çekmelerini istedi. Tornadosaurus-Hex, kullanıcıları fonlarını çekmeye çağırırken, değişiklikleri geri alabilecek bir sözleşme uygulamaya da çalıştı.

Beklendiği üzere, haberin ortaya çıkmasının ardından projenin yerel token'ı düşüşe geçti. TORN 20 Mayıs'ta 7,3 dolara yükseldi ancak sonraki günlerde değerinin yaklaşık yüzde 40'ını kaybetti ve şu anda 4,45 dolar seviyesinde bulunuyor.

İlginizi çekebilir: Tornado Cash'te büyük istismar!