banner
Centre d'Information
Obtenez une aide rapide grâce à notre service en ligne 24 heures sur 24.

Un attaquant détourne la gouvernance de Tornado Cash via une proposition malveillante

Jul 07, 2023

Le contrôle total sur la gouvernance de Tornado Cash permet à l'attaquant de retirer tous les votes verrouillés, de drainer tous les jetons du contrat de gouvernance et de briquer le routeur.

En plus des obstacles existants du mélangeur crypto décentralisé Tornado Cash, un attaquant a réussi à prendre le contrôle total de la gouvernance grâce à une proposition malveillante.

Le 20 mai à 15 h 25 HE, un attaquant a réussi à accorder 1,2 million de voix à une proposition malveillante. Étant donné que la proposition a reçu plus de 700 000 votes légitimes, l’attaquant a pris le contrôle total de la gouvernance de Tornado Cash.

Le 20/05/2023 à 07:25:11 UTC, la gouvernance de Tornado Cash a effectivement cessé d'exister. Grâce à une proposition malveillante, un attaquant s'est octroyé 1 200 000 voix. Comme cela représente plus que les ~700 000 votes légitimes, ils ont désormais un contrôle total.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz

Comme expliqué par @samczsun :

"Une fois la proposition adoptée par les électeurs, l'attaquant a simplement utilisé la fonction EmergencyStop pour mettre à jour la logique de la proposition afin de s'accorder les faux votes."

Comme indiqué ci-dessus, ils ont également tenté de déployer un contrat qui pourrait potentiellement annuler les modifications tout en suggérant à la communauté de retirer ses fonds. Cointelegraph a également reçu un appel de détresse de l'un des développeurs communautaires de Tornado Cash qui a confirmé les développements ci-dessus, déclarant :

Related: Allbridge offre une prime à l'exploiteur qui a volé 573 000 $ lors d'une attaque de prêt flash

Un ancien développeur de Tornado Cash travaillerait à la création d’un nouveau service de mixage cryptographique à partir de zéro, qui corrige le « défaut critique » existant dans Tornado Cash.

1/ Nous avons corrigé @tornadocash 😇v0 de https://t.co/Nt4b2Tgx1D est en ligne sur @optimismFNDtestez la démo, mais veuillez noter :- il s'agit d'un code expérimental- il n'a pas été audité- la configuration fiable n'est pas fiablelire l'intégralité histoire anon 🧵👇https://t.co/9nAU3RrgpN

Ajouter une réaction

Ajouter une réaction

Related: Allbridge offre une prime à l'exploiteur qui a volé 573 000 $ lors d'une attaque de prêt flashMagazine : « Responsabilité morale » : la blockchain peut-elle vraiment améliorer la confiance dans l'IA ?