I depositi effettuati su Tornado Cash utilizzando gateway IPFS tramite gateway IPFS come – ipfs.io, cf-ipfs.com ed eth.link – potrebbero essere stati compromessi, esponendo potenzialmente a rischio i fondi depositati degli utenti, secondo lo pseudonimo di Tornado Cash sviluppatore 'Gas404 .'
Agli utenti interessati è stato consigliato di agire immediatamente per salvaguardare i propri depositi.
Depositi degli utenti vulnerabili
Secondo un post sul blog di Gas404, la comunità ha fatto una scoperta sorprendente sulla presenza di codice JavaScript dannoso, nascosto all'interno di una proposta di governance presentata da un presunto sviluppatore di Tornado Cash noto come Butterfly Effects.
Si ipotizza che questo codice nascosto abbia fatto trapelare note di deposito su un server privato controllato dallo sviluppatore dal 1 gennaio.
In particolare, il rischio sembra essere limitato alle implementazioni IPFS di Tornado Cash, poiché Gas404 ha affermato che le modifiche al codice sorgente minimizzato potrebbero essere facilmente verificate sulle interfacce locali.
Per mitigare il potenziale danno, il post raccomanda ai detentori del token nativo di Tornado Cash, TORN, di votare per il veto sulle due discutibili proposte precedentemente avanzate dallo sfruttatore.
"Ciò conterebbe solo per le implementazioni IPFS di Tornado Cash poiché la fonte minimizzata è diventata una trappola nascosta per un truffatore e quindi le persone che hanno interagito con il contratto utilizzando le interfacce locali sarebbero considerate sicure poiché le modifiche ai commit potrebbero essere facilmente controllate. "
La caduta del Tornado Cash
Tornado Cash è uno dei mixer crittografici più popolari al mondo. Con un duro colpo, l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha sanzionato Tornado Cash nell'agosto 2022, vietando a individui, residenti ed entità negli Stati Uniti di effettuare transazioni finanziarie attraverso la piattaforma.
Il Dipartimento del Tesoro ha affermato che il mixer di criptovalute ha facilitato il riciclaggio di oltre 7 miliardi di dollari in valute digitali, inclusi 455 milioni di dollari che si ritiene siano stati rubati nel 2022 dal Lazarus Group, una nota entità legata al governo nordcoreano.
Successivamente, il dominio del progetto è stato sequestrato e GitHub ha rimosso il repository Tornado Cash sospendendo gli account degli sviluppatori, provocando una protesta da parte dei difensori della privacy. La piattaforma di proprietà di Microsoft ha successivamente liberato il mixer di monete e i contributori.
Lo scorso maggio, un utente malintenzionato ha utilizzato una proposta ingannevole per prendere il controllo dell'Organizzazione Autonoma Decentralizzata (DAO) di Tornado Cash. La proposta conteneva un codice nascosto che garantiva all'hacker la proprietà di token di voto fraudolenti previa approvazione della DAO.
Dopo un voto positivo, l’hacker ha accumulato abbastanza potere di voto per manipolare le proposte future. Entro la fine del mese, l'hacker aveva apparentemente ceduto il controllo, avendo convertito una parte dei token di governance rubati del valore di circa $ 900.000 in Ether, che sono stati poi riciclati tramite il servizio Tornado Cash.
A complicare ulteriormente le cose, altri due sviluppatori di Tornado, Roman Storm e Roman Semenov, hanno dovuto affrontare accuse relative al loro presunto coinvolgimento nel facilitare il riciclaggio di denaro, per un totale di 1 miliardo di dollari. Roman Storm è stato successivamente arrestato nello Stato di Washington e si è dichiarato "non colpevole" delle accuse contro di lui.
Il post Vulnerabilità dei tornado cash: gli sviluppatori segnalano il rischio dei depositi dal 1° gennaio è apparso per la prima volta su CryptoPotato .