Código JavaScript malicioso escondido em uma proposta de governança do Tornado Cash tem vazado notas de depósito e dados para um servidor privado há quase dois meses.
Este vazamento compromete a privacidade e a segurança de todas as transações de fundos realizadas através de implantações IPFS, como ipfs.io, cf-ipfs.com e gateways eth.link desde 1o de janeiro.
Um pesquisador de segurança usando o apelido Gas404 descobriu e relatou o código malicioso, instigando os participantes a vetar as propostas de governança maliciosas.
Tornado Cash é um mixer descentralizado e de código aberto na blockchain Ethereum que fornece privacidade para transações através de anonimização não custodial, sem confiança e sem servidor.
Ele usa um sistema criptográfico de conhecimento zero chamado SNARKs (Argumento Não-Interativo Sucinto de Conhecimento com Zero Conhecimento) para permitir que os usuários depositem e retirem fundos de forma anônima.
Além dos usuários com razões legítimas para proteger suas transações de observadores externos, Tornado Cash também tem sido usado para lavagem de dinheiro.
O uso do mixer para fins ilegais levou a sanções nos Estados Unidos em 2022 e os fundadores do projeto foram acusados em 2023 por ajudar criminosos a lavar mais de US$ 1 bilhão em criptomoedas roubadas.
Propostas de governança em organizações autônomas descentralizadas (DAOs) como Tornado Cash são mecanismos fundamentais para definir direções estratégicas, introduzir atualizações e modificar o núcleo dos protocolos técnicos.
Eles são submetidos pelos detentores de tokens na cadeia e são subsequentemente discutidos e votados pela comunidade do projeto.
Se aceitas, as propostas são implementadas no protocolo.
No caso do comprometimento do Tornado Cash, o código JS malicioso foi introduzido dois meses atrás por meio de uma proposta de governança (número 47) do 'Butterfly Effects' - supostamente um desenvolvedor da comunidade, e modificou o protocolo para vazar notas de depósito para o servidor do atacante.
Gas404 afirma que a função maliciosa codifica as notas privadas de depósito para fazê-las parecer dados de chamada de transação de blockchain regulares e esconde o uso da função 'window.fetch' para ofuscar ainda mais o mecanismo de exploração.
Os desenvolvedores do Tornado Cash confirmaram o comprometimento e alertaram sobre os riscos, aconselhando os usuários a retirar suas antigas notas possivelmente expostas e substituí-las por novas.
Além disso, recomendou-se aos detentores de tokens com direito a voto que cancelassem seus votos para a proposta 47, a fim de reverter as alterações no protocolo e remover o código malicioso.
Isso não eliminará o vazamento dos dados sensíveis, no entanto.
Para mitigar o risco, Gas404 aconselha usuários potencialmente expostos a mudar para uma implantação ContextHash IPFS específica, previamente recomendada e verificada pela governança do Tornado Cash.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...