제퍼넷 로고

생성 데이터 인텔리전스

블록체인

해커, 토네이도 현금에서 1만 달러 훔친 후 거버넌스 탈취 수정 제안

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 115

암호화폐에서만 발생할 수 있는 일련의 사건에서 개인 암호화폐 거래를 가능하게 하는 프로토콜인 Tornado Cash를 악용한 해커는 약 1만 달러 상당의 토큰을 소모할 수 있는 공격을 패치할 것을 제안하고 있습니다.

금요일에 해커는 프로토콜에서 1만 달러 이상의 자산을 훔쳤습니다. 은폐 악의있는 암호 커뮤니티에서 감지되지 않은 거버넌스 제안에서. 이틀 후 해커는 해당 공격을 패치할 것을 제안했습니다.

투표는 금요일 밤이나 토요일 이른 아침에 마감될 예정이지만 제안이 실행될 것이라는 보장은 없습니다. 사용자는 여전히 프로토콜에서 자금을 인출할 수 있습니다.

이 사건은 web3 프로젝트의 커뮤니티가 새로 제안된 거버넌스 조치를 세밀하게 검토하지 않을 때 토큰 기반 거버넌스의 취약성을 강조합니다. 이야기는 DAO만큼 오래되었습니다. DAO, Ethereum의 분산된 조직에서 첫 번째 실험으로, 150년 해커가 프로젝트 코드의 의도하지 않은 취약점을 악용하여 2016억 XNUMX천만 달러의 치명적인 해킹을 겪었습니다.

TORN 다이브

Tornado Cash의 기본 토큰인 TORN의 가격은 해커가 수정을 제안한 후 일요일에 7.5% 랠리를 주도한 후 24시간 만에 10% 하락했습니다. 그러나 TORN은 주말이 시작된 이후로 32% 하락한 상태를 유지하고 있습니다.

이번 하락은 미 재무부가 전례 없는 85년 2022월 제재 그것의 코드. 이 프로토콜은 기관의 특별 지정 국민 목록에 추가되어 미국 거주자가 프로토콜과 상호 작용하는 것을 불법으로 만듭니다.

암호화 믹서

Tornado Cash는 사용자에게 믹서로 알려진 온체인 프라이버시를 제공하도록 설계된 이더리움 기반 프로토콜입니다.

프로토콜은 프로토콜을 통해 자산을 새 주소로 전송하여 사용자의 거래 내역을 난독화합니다. 이체는 소규모 트랜잭션의 복잡한 웹을 통해 실행되므로 블록체인 전문가가 Tornado Cash를 사용하여 보낸 자금의 움직임을 풀기가 어렵습니다. 분산형 유동성 공급자는 거래를 용이하게 하기 위해 자본을 제공하는 대가로 수수료를 받습니다.

공격 역학

공격은 해커가 Tornado Cash 거버넌스에 제안을 하는 것으로 구성되었으며, 여기에는 1,200,000표를 부여할 수 있는 추가 기능이 추가되었습니다.

사기 투표는 TORN 스테이커에게 발행된 700,000개의 정당한 투표 수를 훨씬 능가하여 해커가 거버넌스 제안을 마음대로 실행하고 거버넌스 계약에 보관된 자금에 액세스할 수 있게 합니다.

그곳에서 그들은 100,000개의 TORN 토큰과 360개의 ETH를 인출할 수 있었고, 약 1만 달러의 도난 자금을 쌓을 수 있었습니다. 아이러니하게도 해커 익숙한 도난당한 TORN 토큰을 판매하여 얻은 360 ETH의 목적지를 숨기기 위한 Tornado Cash.

이와는 별도로 Gnosis Chain 기반 Tornado Cash Nova에서 또 다른 1만 달러의 위험이 있습니다. 전개 프로토콜의. 해당 계약을 소모하는 제안을 실행하는 데 XNUMX일이 걸리므로 자금이 있는 사용자는 여전히 인출할 시간이 있습니다.

공격 반전

그리고 훨씬 더 밝은 희망의 빛이 있습니다. 일요일에는 Tornado Cash 커뮤니티 회원인 Tornadosaurus-Hex가 신고 된 공격자는 투표권을 1.2M에서 0으로 재설정하는 제안을 시작했습니다. 이 조치는 프로토콜의 거버넌스에 대한 제어권을 포기합니다.

해커는 여전히 26월 517일 경 승인 또는 거부될 이 제안에 대한 투표에 대한 모든 권한을 가지고 있으며 현재 XNUMX표가 찬성한다고 Twitter 사용자에 따르면, 0xdeadf4ce.

“그들은 기가 트롤링을 하거나 비용이 많이 들지만 거버넌스 보안에 대해 재앙적이지는 않은 교훈이 될 것입니다.”라고 그들은 말했습니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.