Misturador de criptografia Dinheiro Tornado foi supostamente vítima de uma exploração de back-end significativa que colocou em risco os depósitos dos usuários e dados confidenciais.
A violação de segurança foi revelado em uma postagem do Medium por Gas404, um membro da comunidade, em 26 de fevereiro.
A exploração representa uma vulnerabilidade crítica para o Tornado Cash, cujo volume de negócios já sofreu um declínio dramático seguindo sanções do Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA em agosto de 2022.
As sanções, que faziam parte de medidas mais amplas dirigidas ao setor criptográfico, reduziram significativamente a escala operacional do misturador mesmo antes da exploração.
Código malicioso
De acordo com a postagem do Medium, código JavaScript malicioso foi descoberto no backend do protocolo. Foi relatado que foi injetado por meio de uma proposta de governança comprometida apresentada por um indivíduo se passando por desenvolvedor do Tornado Cash em 1º de janeiro.
O código redireciona sub-repticiamente as informações de depósito do usuário para um servidor controlado pelo invasor, representando uma ameaça dupla: a exposição dos dados do depósito e o roubo total dos próprios depósitos.
Um desses roubos foi confirmado através de registros de transações no Etherscan, destacando o impacto imediato da exploração.
Os detalhes técnicos da exploração foram discutidos detalhadamente na postagem da comunidade, ilustrando a natureza sofisticada do ataque.
Especificamente, o código malicioso foi projetado para codificar e exfiltrar notas de depósitos privados, violando efetivamente o anonimato e a segurança dos quais os usuários do Tornado Cash dependem.
Solução proposta
Em resposta à crise, Gas404 propôs uma solução para mitigar os danos: reverter o Tornado Cash para uma versão anterior da sua implantação IPFS.
A mudança visa proteger a plataforma contra a vulnerabilidade atual, utilizando uma configuração de infraestrutura previamente estabelecida e ostensivamente segura.
A alteração proposta sublinha a urgência de resolver as falhas de segurança nas plataformas descentralizadas, onde as propostas de governação podem ser manipuladas para fins maliciosos.
O site Tornado Cash e o canal Discord foram colocados offline após a revelação e ainda não voltaram a ficar online – uma indicação da gravidade da exploração e dos esforços contínuos para conter suas repercussões.
