Penyerang membajak tata kelola Tornado Cash melalui proposisi jahat

Menambah penghalang jalan yang ada dari mixer crypto terdesentralisasi Tornado Cash, seorang penyerang berhasil mendapatkan kontrol tata kelola penuh melalui proposisi jahat.

Pada 20 Mei pukul 3:25 ET, seorang penyerang berhasil memberikan 1,2 juta suara pada proposisi jahat. Karena proposal tersebut menerima lebih dari 700.000 suara sah, penyerang mendapatkan kendali penuh atas pengelolaan Tornado Cash.

Informasi tersebut dibagikan oleh @samczsun dari perusahaan investasi teknologi berbasis penelitian Paradigm, yang mengungkapkan bahwa dalam membagikan proposisi jahat, penyerang mengklaim telah menggunakan logika yang mirip dengan proposisi yang sebelumnya telah disetujui oleh komunitas. Namun, kali ini proposal memiliki fungsi tambahan.

Seperti yang dijelaskan oleh @samczsun:

“Setelah proposisi disetujui oleh pemilih, penyerang hanya menggunakan fungsi EmergencyStop untuk memperbarui logika proposisi untuk menikmati suara palsu.”

Kontrol total atas tata kelola Tornado Cash memungkinkan penyerang menarik semua suara yang diblokir, menguras semua token dalam kontrak tata kelola, dan memblokir router. Pada saat penulisan, penyerang “cukup menarik 10.000 suara sebagai TORN dan menjual semuanya,” kata @samczsun.

Serangan itu datang sebagai pengingat bagi investor crypto untuk memeriksa deskripsi dan alasan dari proposisi tersebut. Komunitas Tornado Cash yang aktif, yang bernama Tornadosaurus-Hex atau Mr. Tornadosaurus Hex, mengonfirmasi bahwa semua dana dalam tata kelola berpotensi disusupi dan meminta semua anggota untuk menarik semua dana yang dikunci dalam tata kelola.

Seperti yang ditunjukkan di atas, mereka juga berusaha menerapkan kontrak yang berpotensi membalikkan perubahan, sambil tetap mendorong masyarakat untuk menarik dana mereka. Cointelegraph juga menerima panggilan darurat dari salah satu pengembang komunitas Tornado Cash yang mengonfirmasi perkembangan di atas, menyatakan:

“Ada serangan protokol pagi ini yang sudah Anda ketahui. Sepanjang hari, pengembang komunitas lain dan saya telah memikirkan tentang apa yang harus dilakukan, tetapi situasinya hampir tidak ada harapan: saat ini penyerang mengontrol Tata Kelola.

Tim saat ini sedang mencari pengembang Solidity yang dapat membantu menyelamatkan protokol dari kepunahan. Lebih lanjut mereka menyatakan bahwa “kami memerlukan kontak dengan Binance – pertukaran ini memiliki lebih banyak token daripada penyerang”.

Terkait: Allbridge menawarkan hadiah untuk mengeksploitasi siapa yang mencuri $573.000 dalam peretasan pinjaman kilat

Mantan pengembang Tornado Cash dilaporkan bekerja untuk membangun layanan pencampuran cryptocurrency baru dari awal, yang memperbaiki “cacat kritis” yang ada di Tornado Cash.



Sumber