Ο κακόβουλος κώδικας JavaScript που είναι κρυμμένος σε μια πρόταση διακυβέρνησης Tornado Cash διαρρέει σημειώσεις κατάθεσης και δεδομένα σε έναν ιδιωτικό διακομιστή για σχεδόν δύο μήνες.
Αυτή η διαρροή θέτει σε κίνδυνο το απόρρητο και την ασφάλεια όλων των συναλλαγών αμοιβαίων κεφαλαίων που πραγματοποιούνται μέσω αναπτύξεων IPFS, όπως οι πύλες ipfs.io, cf-ipfs.com και eth.link από την 1η Ιανουαρίου.
Ένας ερευνητής ασφάλειας που χρησιμοποιεί το ψευδώνυμο
Αέριο404
ανακάλυψε και ανέφερε τον κακόβουλο κώδικα, προτρέποντας τους ενδιαφερόμενους να ασκήσουν βέτο στις κακόβουλες προτάσεις διακυβέρνησης.
Το Tornado Cash είναι ένας αποκεντρωμένος μίκτης ανοιχτού κώδικα στο blockchain Ethereum που παρέχει απόρρητο για συναλλαγές μέσω ανωνυμοποίησης χωρίς φύλαξη, χωρίς εμπιστοσύνη και χωρίς διακομιστή.
Χρησιμοποιεί ένα κρυπτογραφικό σύστημα μηδενικής γνώσης που ονομάζεται SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) για να επιτρέπει στους χρήστες να καταθέτουν και να αποσύρουν χρήματα ανώνυμα.
Εκτός από χρήστες με νόμιμους λόγους να προστατεύουν τις συναλλαγές τους από εξωτερικούς παρατηρητές, το Tornado Cash έχει επίσης χρησιμοποιηθεί για ξέπλυμα βρώμικου χρήματος.
Η χρήση του μίκτη για παράνομους σκοπούς οδήγησε σε κυρώσεις στις Ηνωμένες Πολιτείες το 2022 και οι ιδρυτές του έργου κατηγορήθηκαν το 2023 επειδή βοήθησαν εγκληματίες να ξεπλύνουν κλεμμένα κρυπτονομίσματα αξίας άνω του 1 δισεκατομμυρίου δολαρίων.
Φύτευση κακόβουλου κώδικα
Οι προτάσεις διακυβέρνησης σε αποκεντρωμένους αυτόνομους οργανισμούς (DAO) όπως το Tornado Cash είναι θεμελιώδεις μηχανισμοί για τον καθορισμό στρατηγικών κατευθύνσεων, την εισαγωγή ενημερώσεων και την τροποποίηση του πυρήνα των τεχνικών πρωτοκόλλων.
Υποβάλλονται από τους κατόχους διακριτικών στην αλυσίδα και στη συνέχεια συζητούνται και ψηφίζονται από την κοινότητα του έργου. Εάν γίνουν δεκτές, οι προτάσεις ενσωματώνονται στο πρωτόκολλο.
Στην περίπτωση του συμβιβασμού του Tornado Cash, ο κακόβουλος κώδικας JS εισήχθη πριν από δύο μήνες μέσω μιας πρότασης διακυβέρνησης (αριθμός 47) από το “Butterfly Effects” – φερόμενο ως προγραμματιστή κοινότητας, και τροποποίησε το πρωτόκολλο για να διαρρεύσει σημειώσεις κατάθεσης στον διακομιστή του εισβολέα.
Αέριο404
λέει
ότι η κακόβουλη συνάρτηση κωδικοποιεί τις ιδιωτικές σημειώσεις κατάθεσης για να τις κάνει να φαίνονται σαν δεδομένα κλήσεων κανονικών συναλλαγών blockchain και αποκρύπτει τη χρήση της συνάρτησης «window.fetch» για περαιτέρω συσκότιση του μηχανισμού εκμετάλλευσης.
Η Tornado Cash Developers επιβεβαίωσε τον συμβιβασμό και προειδοποίησε για τους κινδύνους, συμβουλεύοντας τους χρήστες να αποσύρουν τις παλιές και πιθανώς εκτεθειμένες σημειώσεις τους και να τις αντικαταστήσουν με αυτές που δημιουργήθηκαν πρόσφατα.
Επίσης, οι κάτοχοι διακριτικών με δικαιώματα ψήφου έλαβαν συμβουλές να ακυρώσουν τις ψήφους τους για την πρόταση 47 για να επαναφέρουν τις αλλαγές του πρωτοκόλλου και να αφαιρέσουν τον κακόβουλο κώδικα.
Ωστόσο, αυτό δεν θα εξαλείψει τη διαρροή των ευαίσθητων δεδομένων. Για να μετριάσει τον κίνδυνο, το Gas404 συμβουλεύει τους πιθανώς εκτεθειμένους χρήστες να μεταβούν σε μια συγκεκριμένη ανάπτυξη IPFS ContextHash που συνιστούσε προηγουμένως και επαληθεύτηκε μέσω της διαχείρισης μετρητών Tornado.
VIA:
bleepingcomputer.com
