Código malicioso na proposta de governança do Tornado Cash coloca fundos do usuário em risco
28 de Fevereiro de 2024

Código JavaScript malicioso escondido em uma proposta de governança do Tornado Cash tem vazado notas de depósito e dados para um servidor privado há quase dois meses.

Este vazamento compromete a privacidade e a segurança de todas as transações de fundos realizadas através de implantações IPFS, como ipfs.io, cf-ipfs.com e gateways eth.link desde 1o de janeiro.

Um pesquisador de segurança usando o apelido Gas404 descobriu e relatou o código malicioso, instigando os participantes a vetar as propostas de governança maliciosas.

Tornado Cash é um mixer descentralizado e de código aberto na blockchain Ethereum que fornece privacidade para transações através de anonimização não custodial, sem confiança e sem servidor.

Ele usa um sistema criptográfico de conhecimento zero chamado SNARKs (Argumento Não-Interativo Sucinto de Conhecimento com Zero Conhecimento) para permitir que os usuários depositem e retirem fundos de forma anônima.

Além dos usuários com razões legítimas para proteger suas transações de observadores externos, Tornado Cash também tem sido usado para lavagem de dinheiro.

O uso do mixer para fins ilegais levou a sanções nos Estados Unidos em 2022 e os fundadores do projeto foram acusados ​​em 2023 por ajudar criminosos a lavar mais de US$ 1 bilhão em criptomoedas roubadas.

Propostas de governança em organizações autônomas descentralizadas (DAOs) como Tornado Cash são mecanismos fundamentais para definir direções estratégicas, introduzir atualizações e modificar o núcleo dos protocolos técnicos.

Eles são submetidos pelos detentores de tokens na cadeia e são subsequentemente discutidos e votados pela comunidade do projeto.

Se aceitas, as propostas são implementadas no protocolo.

No caso do comprometimento do Tornado Cash, o código JS malicioso foi introduzido dois meses atrás por meio de uma proposta de governança (número 47) do 'Butterfly Effects' - supostamente um desenvolvedor da comunidade, e modificou o protocolo para vazar notas de depósito para o servidor do atacante.

Gas404 afirma que a função maliciosa codifica as notas privadas de depósito para fazê-las parecer dados de chamada de transação de blockchain regulares e esconde o uso da função 'window.fetch' para ofuscar ainda mais o mecanismo de exploração.

Os desenvolvedores do Tornado Cash confirmaram o comprometimento e alertaram sobre os riscos, aconselhando os usuários a retirar suas antigas notas possivelmente expostas e substituí-las por novas.

Além disso, recomendou-se aos detentores de tokens com direito a voto que cancelassem seus votos para a proposta 47, a fim de reverter as alterações no protocolo e remover o código malicioso.

Isso não eliminará o vazamento dos dados sensíveis, no entanto.

Para mitigar o risco, Gas404 aconselha usuários potencialmente expostos a mudar para uma implantação ContextHash IPFS específica, previamente recomendada e verificada pela governança do Tornado Cash.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...