[ad_1]
除了去中心化加密混合器 Tornado Cash 的现有障碍外,攻击者还设法通过恶意提议获得对治理的完全控制。
5 月 20 日美国东部时间 3:25,攻击者成功地向恶意提案授予了 120 万票。 鉴于该提案获得了超过 700,000 张合法选票,攻击者获得了对 Tornado Cash 治理的完全控制权。
在世界标准时间 2023/05/20 07:25:11,Tornado Cash 治理实际上已不复存在。 通过恶意提议,攻击者授予自己 1,200,000 票。 由于这超过了约 700,000 张合法选票,他们现在拥有完全控制权。https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) 2023 年 5 月 20 日
该信息由研究驱动技术投资公司 Paradigm 的@samczsun 分享,他透露,在分享恶意提案时,攻击者声称其使用了类似于社区先前通过的提案的逻辑。 不过,这一次,提案多了一个功能。
正如@samczsun 所解释的:
“一旦提案被选民通过,攻击者就可以简单地使用 emergencyStop 函数来更新提案逻辑,从而为自己授予虚假选票。”
对 Tornado Cash 治理的完全控制允许攻击者撤回所有锁定的选票,耗尽治理合约中的所有代币并使路由器变砖。 在撰写本文时,攻击者“只是以 TORN 身份撤回了 10,000 张选票并将其全部出售,”@samczsun 说。
这次攻击提醒加密货币投资者审查提案描述和逻辑。 一个名为 Tornadosaurus-Hex 或 Mr. Tornadosaurus Hex 的活跃的 Tornado Cash 社区证实,治理中的所有资金都可能受到损害,并要求所有成员撤回锁定在治理中的所有资金。
如上所示,他们还尝试部署一个可能会恢复更改的合约,同时仍然建议社区撤回他们的资金。 Cointelegraph 还收到了 Tornado Cash 社区开发人员之一的求救电话,他证实了上述事态发展,并指出:
“今天早上协议遭到攻击,你已经知道了。 一整天,我和另一个社区开发人员都在考虑该怎么做,但情况几乎没有希望——目前攻击者控制着治理。”
该团队目前正在寻找可以帮助拯救该协议免于灭绝的 Solidity 开发人员。 他们还表示,“我们需要与 Binance 联系——这个交易所拥有的代币比攻击者多。”
相关:Allbridge 向在闪贷攻击中窃取 57.3 万美元的开发者提供赏金
据报道,一位前 Tornado Cash 开发人员正致力于从头开始构建一种新的加密货币混合服务,以解决 Tornado Cash 中存在的“关键缺陷”。
1/ 我们修复了 @tornadocash 😇
https://t.co/Nt4b2Tgx1D 的 v0 正在上线 @optimismFND
测试演示,但请注意:
– 这是实验代码
– 未经审计
– 受信任的设置是不受信任的马上阅读全文🧵👇https://t.co/9nAU3RrgpN
– 阿米恩·苏莱曼尼 (@ameensol) 2023 年 3 月 4 日
[ad_2]
Source link
