حاکمیت تورنادو کش به دست یک مهاجم افتاد

داشتن کنترل کامل بر حاکمیت تورنادو کش (Tornado Cash) به مهاجم این امکان را داده تا همه آراء قفل شده را برداشت، تمام توکن‌های موجود در قرارداد حاکمیت را خالی و روتر را غیرفعال کند.

به گزارش والکس و به نقل از cointelegraph، با توجه به مشکلات موجود در میکسر رمزارز غیرمتمرکز تورنادو کش، مهاجمی توانسته از طریق یک پیشنهاد مخرب، کنترل کامل حاکمیت را به دست آورد.

در تاریخ ۲۰ می ساعت ۳:۲۵ بعد از ظهر به وقت شرق آمریکا، مهاجم ناشناسی توانست با موفقیت ۱/۲ میلیون آراء را به یک پیشنهاد مخرب اختصاص دهد. با توجه به اینکه این پیشنهاد بیش از ۷۰۰ هزار آراء قانونی دریافت کرده، مهاجم کنترل کاملی بر حاکمیت تورنادو کش به دست آورده است.

این اطلاعات توسط سم سان (samczsun@) از شرکت سرمایه‌گذاری حوزه فناوری پارادایم (Paradigm) به اشتراک گذاشته شده است. در زمان به اشتراک‌گذاری اطلاعات این پیشنهاد، مهاجم ادعا کرده که از منطق مشابه طرحی که پیش‌تر توسط جامعه تصویب شده بود استفاده کرده است. اما طرح او شامل یک تابع جانبی هم می‌شود.

سم سان توضیح می‌دهد:

پس از تصویب پیشنهاد توسط اعضای جامعه، مهاجم به سادگی از تابع emergencyStop استفاده کرد تا منطق پیشنهاد خود را خود را بروزرسانی کند و ‌آراء جعلی به این پیشنهاد اختصاص دهد.

کنترل کامل بر حاکمیت تورنادو کش به مهاجم این امکان را می‌دهد تا همه آراء مسدود شده را برداشت، تمام توکن‌های موجود در قرارداد حاکمیت را خالی و روتر را غیرفعال کند. خالی و روتر را غیرفعال کند. به گفته سم سان، در زمان نگارش این خبر، مهاجم “به راحتی ۱۰ هزار آراء را به عنوان توکن TORN برداشت کرده و همه آنها را فروخته است. این حمله به سرمایه‌گذاران رمزارزی یادآوری کرده که باید جزئیات و منطق پیشنهادات را مورد بررسی قرار دهند. یکی از جوامع فعال در تورنادو کش، که با نام Tornadosaurus Hex یا Mr. Tornadosaurus Hex شناخته می‌شود، تأیید کرده که تمام سرمایه موجود در حاکمیت به خطر افتاده‌ و از اعضا خواسته که همه دارایی‌های قفل شده در حاکمیت را برداشت کنند.

همانطور که در بالا نشان داده شده، آنها همچنین تلاش کردند تا قراردادی را پیاده‌سازی کنند که به‌طور بالقوه تغییرات را برگرداند، اما همچنان به جامعه پیشنهاد می‌دهند که اموال خود را برداشت کنند. Cointelegraph نیز با یکی از توسعه‌دهندگان جامعه  تورنادو کش ارتباط گرفته است. او تلاش‌های فوق را تایید کرد و گفت:

صبح امروز به پروتکل حمله شد که شما پیش‌تر از آن مطلع شده‌اید. تمام روز، من و یکی دیگر از توسعه‌دهندگان جامعه فکر می‌کردیم که چه باید انجام دهیم، اما وضعیت تقریباً ناامیدکننده است و در حال حاضر مهاجم کنترل حاکمیت را در دست دارد.

تیم تورنادو کش در حال حاضر به دنبال توسعه‌دهندگان سالیدیتی است که می‌توانند به نجات پروتکل از نابودی کمک کنند. آنها همچنین بیان کردند که “باید با بایننس تماس بگیریم، این صرافی نسبت به مهاجم توکن‌های بیشتری دارد.” گفته می‌شود که یکی از توسعه‌دهندگان پیشین تورنادو کش در حال ساخت یک سرویس جدید میکسر رمزارزی است که مشکلات “بحرانی” موجود در این پلتفرم را برطرف می‌کند.

این توسعه‌دهنده امیدوار است که راه‌حل او به جامعه قدرت دهد تا در برابر هکرهایی که از کاربران صادق سوءاستفاده می‌کنند، بدون نیاز به اجرای مقررات عمومی یا زیر پا گذاشتن ایده‌آل‌های رمزنگاری، دفاع کند.