В коде криптовалютного миксера Tornado Cash обнаружили вредоносный JavaScript, который почти два месяца передавал данные депозитных сертификатов (deposit notes) на удаленный сервер.
Депозитные сертификаты работают как приватные ключи для средств, прошедших через миксер, и могут использоваться для повторного доступа к активам уже после их «смешивания». Обнаруженный бэкдор ставит под угрозу конфиденциальность и безопасность всех операций, проведенных через IPFS (запущенный 1 января 2024 года), включая ipfs.io, cf-ipfs.com и eth.link.
Сообщается, что вредоносный код был внедрен два месяца назад через governance proposal (номер 47) неким Butterfly Effects (предположительно, один из комьюнити-разработчиков). Первым эту проблему заметил исследователь под ником Gas404, а затем его находку подтвердил и основатель компании SlowMist, специализирующейся на блокчейн-безопасности. В своем отчете Gas404 призвав все заинтересованные стороны поскорее наложить вето на вредоносные governance proposal.
Gas404 отмечает, что вредоносная функциональность кодирует приватные депозитные сертификаты, чтобы те выглядели как обычные данные блокчейн-транзакций, и скрывает использование функции window.fetch.
Разработчики Tornado Cash уже подтвердили факт компрометации и предупредили о рисках, посоветовав пользователям изъять свои старые и, вероятно, скомпрометированные сертификаты, заменив их на вновь сгенерированные. Кроме того, всем рекомендовано отозвать свои голоса за governance proposal 47, чтобы отменить изменения и избавиться от вредоносного кода.
Напомним, что Tornado Cash — опенсорсный децентрализованный миксер на блокчейне Ethereum. Он использует криптографическую zero-knowledge систему SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge), чтобы пользователи могли вносить и выводить средства анонимно.
В 2022 году американские власти обвинили Tornado Cash в отмывании денег и наложили на проект санкции (хотя это не понравилось многим участникам криптовалютной индустрии), а в 2023 году основателей проекта обвинили в помощи преступникам в отмывании украденной криптовалюты на сумму более 1 млрд долларов. После этого исходный Tornado Cash прекратил свое существование, однако его кодовая база продолжает использоваться для новых теневых миксер-сервисов.
Tornado Cash Notes Exploit From Jan 1st and the actions you must take
If you have deposited to Tornado Cash using IPFS gateways ( like ipfs.io, cf-ipfs.com, eth.link ), your note would likely be exposed and…
gas404.medium.com
Депозитные сертификаты работают как приватные ключи для средств, прошедших через миксер, и могут использоваться для повторного доступа к активам уже после их «смешивания». Обнаруженный бэкдор ставит под угрозу конфиденциальность и безопасность всех операций, проведенных через IPFS (запущенный 1 января 2024 года), включая ipfs.io, cf-ipfs.com и eth.link.
Сообщается, что вредоносный код был внедрен два месяца назад через governance proposal (номер 47) неким Butterfly Effects (предположительно, один из комьюнити-разработчиков). Первым эту проблему заметил исследователь под ником Gas404, а затем его находку подтвердил и основатель компании SlowMist, специализирующейся на блокчейн-безопасности. В своем отчете Gas404 призвав все заинтересованные стороны поскорее наложить вето на вредоносные governance proposal.
Gas404 отмечает, что вредоносная функциональность кодирует приватные депозитные сертификаты, чтобы те выглядели как обычные данные блокчейн-транзакций, и скрывает использование функции window.fetch.
Разработчики Tornado Cash уже подтвердили факт компрометации и предупредили о рисках, посоветовав пользователям изъять свои старые и, вероятно, скомпрометированные сертификаты, заменив их на вновь сгенерированные. Кроме того, всем рекомендовано отозвать свои голоса за governance proposal 47, чтобы отменить изменения и избавиться от вредоносного кода.
Напомним, что Tornado Cash — опенсорсный децентрализованный миксер на блокчейне Ethereum. Он использует криптографическую zero-knowledge систему SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge), чтобы пользователи могли вносить и выводить средства анонимно.
В 2022 году американские власти обвинили Tornado Cash в отмывании денег и наложили на проект санкции (хотя это не понравилось многим участникам криптовалютной индустрии), а в 2023 году основателей проекта обвинили в помощи преступникам в отмывании украденной криптовалюты на сумму более 1 млрд долларов. После этого исходный Tornado Cash прекратил свое существование, однако его кодовая база продолжает использоваться для новых теневых миксер-сервисов.
Tornado Cash Notes Exploit From Jan 1st and the actions you must take
If you have deposited to Tornado Cash using IPFS gateways ( like ipfs.io, cf-ipfs.com, eth.link ), your note would likely be exposed and…
gas404.medium.com