Un atacante ha secuestrado el gobierno de Tornado Cash mediante una propuesta maliciosa

Sumándose a los bloqueos existentes del mezclador de criptomonedas descentralizado Tornado Cash, un atacante consiguió hacerse con el control total de la gobernanza a través de una propuesta maliciosa. 

El 20 de mayo a las 3:25 ET, un atacante consiguió conceder 1.2 millones de votos a una propuesta maliciosa. Dado que la propuesta recibió más de 700,000 votos legítimos, el atacante consiguió el control total de la gobernanza de Tornado Cash.

On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz

— @samczsun.com (@samczsun) May 20, 2023

El 2023/05/20 a las 07:25:11 UTC, el gobierno de Tornado Cash dejó de existir. A través de una propuesta maliciosa, un atacante se concedió a sí mismo 1,200,000 votos. Como esto es más que los aproximadamente 700,000 votos legítimos, ahora tiene el control total.

La información fue compartida por @samczsun de la firma de inversión en tecnología impulsada por la investigación Paradigm, quien reveló que, al compartir la propuesta maliciosa, el atacante afirmó que utilizaba una lógica similar a una propuesta que había pasado previamente por la comunidad. Sin embargo, esta vez, la propuesta tenía una función adicional. 

Como explica @samczsun:

“Una vez que la propuesta fue aprobada por los votantes, el atacante simplemente utilizó la función emergencyStop para actualizar la lógica de la propuesta y concederse los votos falsos”.

El control total sobre el gobierno de Tornado Cash permite al atacante retirar todos los votos bloqueados, drenar todos los tokens del contrato de gobierno y bloquear el router. Al momento de escribir este artículo, el atacante “simplemente retiró 10,000 votos como TORN y lo vendió todo”, dijo @samczsun.

El ataque viene como un recordatorio a los inversores cripto para que examinen las descripciones y la lógica de las propuestas. Una comunidad activa de Tornado Cash, que se hace llamar Tornadosaurus-Hex o Mr. Tornadosaurus Hex, confirmó que todos los fondos en Governance están potencialmente comprometidos y pidió a todos los miembros que retiraran todos los fondos bloqueados en Governance.

Como se muestra arriba, también intentaron desplegar un contrato que potencialmente podría revertir los cambios mientras seguía sugiriendo a la comunidad que retirara sus fondos. Cointelegraph también se encontró con una llamada de socorro de uno de los desarrolladores de la comunidad de Tornado Cash que confirmó los acontecimientos anteriores, declarando que:

“Esta mañana ha habido un ataque al protocolo que ya ustedes conocen. Durante todo el día, otro desarrollador de la comunidad y yo hemos pensado qué hacer, pero la situación es casi desesperada: actualmente el atacante controla el Gobierno”.

El equipo está actualmente en busca de desarrolladores de Solidity que puedan ayudar a salvar al protocolo de la extinción. Adicionalmente declararon que “necesitamos contactar con Binance: este exchange tiene más tokens que el atacante”.

Según informes, un ex desarrollador de Tornado Cash está trabajando en la construcción de un nuevo servicio de mezcla de criptomonedas desde cero, que aborda la “falla crítica” existente en Tornado Cash.

1/ We fixed @tornadocash 😇

v0 of https://t.co/Nt4b2Tgx1D is live on @optimismFND

test out the demo, but please note:
– this is experimental code
– it has not been audited
– the trusted setup is untrusted

read the full story anon 🧵👇https://t.co/9nAU3RrgpN

— Ameen Soleimani (@ameensol) March 4, 2023

1/ Hemos arreglado @tornadocash 😇

v0 de https://t.co/Nt4b2Tgx1D está en @optimismFND

prueba la demo, pero ten en cuenta:
– este es un código experimental
– no ha sido auditado
– la configuración de confianza no es de confianza

leer la historia completa anon en el enlace

El desarrollador espera que la solución faculte a “la comunidad para defenderse de los hackers que abusan de los conjuntos de anonimato de los usuarios honestos sin requerir una regulación general ni sacrificar los ideales de las criptos”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:  

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.