27/02/24
Разработчики Tornado Cash, криптовалютного миксера, основанного на смарт-контрактах, предупредили пользователей, которые вносили депозиты через шлюзы IPFS в период с 1 января по 24 февраля, о потенциальном мошенничестве.
По мнению разработчиков, в это время злоумышленники могли перехватывать информацию о депозитах в Tornado Cash и перенаправлять её на контролируемый ими сервер. Причина в том, что в код, представленный сообществом разработчиков Tornado Cash, был добавлен скрытый фрагмент с вредоносным JavaScript-содержимым.
Как отмечает Securitylab, этот код был обнаружен в предложении по развитию экосистемы от одного из разработчиков Tornado Cash. По мнению команды, он был специально добавлен, чтобы перехватывать и перенаправлять данные о депозитах.
В отдельном посте, опубликованном на платформе Media, разработчики предоставили подробное описание того, как именно злоумышленники использовали этот код для перехвата информации о депозитах и последующего перенаправления средств.
Чтобы предотвратить повторение подобных инцидентов, разработчики рекомендуют пользователям, совершавшим транзакции через IPFS в указанный период, изменить записи о депозитах. А также призывают держателей токенов TORN заблокировать любые предложения по развитию экосистемы, исходящие от этого разработчика.
При использовании локальных интерфейсов взаимодействия с контрактом риски компрометации минимальны, так как изменения кода легко отследить, отмечают разработчики.
Сложившаяся ситуация вызывает опасения относительно безопасности экосистемы Tornado Cash, особенно с учётом того, что злоумышленнику удалось внедрить вредоносный код в официальное предложение по развитию экосистемы.
Эксперты полагают, что такие инциденты могут негативно сказаться на репутации децентрализованных финансовых сервисов. Хотя сторонники Тornado Cash утверждают, что эта ситуация также демонстрирует способность сообщества оперативно реагировать на возникающие угрозы.
Так или иначе, учитывая огромные масштабы аудитории Tornado Cash, последствия инцидента могут быть весьма серьёзными как для самой экосистемы, так и для всей индустрии децентрализованных финансов.
Пока неясно, удалось ли злоумышленникам получить доступ к каким-либо существенным суммам средств пользователей Tornado Cash. Но сам факт компрометации вызывает обеспокоенность и требует дальнейшего тщательного расследования.
