Die Entwickler von Tornado Cash haben eine Betrugswarnung an Kryptowährungs-Nutzer herausgegeben, die zwischen dem 1. Januar und dem 24. Februar Einzahlungen über die Gateways von IPFS getätigt haben. Die Entwickler vermuten, dass ein Angreifer Einzahlungen von Tornado Cash in diesem Zeitraum “durchgesickert” haben könnte zu einem Server unter ihrer Kontrolle.
Benutzeralarm: Entwickler von Tornado Cash warnen vor Risiken für seit dem 1. Januar eingezahlte Gelder
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
‘Bösartiger Javascript-Code’
Die Entwickler von Tornado Cash, einem auf Smart Contracts basierenden Kryptowährungs-Mixer, haben eine Betrugswarnung an Nutzer herausgegeben, die seit dem 1. Januar Einzahlungen über die Gateways des Finanzdienstleisters IPFS getätigt haben. Die Entwickler behaupten, dass die Einzahlungsbelege solcher Nutzer einem “bösartigen Javascript-Code” ausgesetzt gewesen sein könnten.
Die Entwickler vermuten, dass ein Angreifer in diesem Zeitraum möglicherweise Einzahlungen von Tornado Cash zu einem Server unter ihrer Kontrolle “durchgesickert” hat. In einem Medium Beitrag, der die Existenz des Codes bestätigte, enthüllten die Entwickler, dass der Code von dem Governance-Vorschlag, der von Butterfly Effects, einem Entwickler der Tornado Cash-Community, eingereicht wurde, versteckt wurde.
Die Entwickler gaben jedoch an, dass der besagte Einlagen-Leak scheinbar nur auf IPFS-Deployments von Tornado Cash zutraf. Für Nutzer, die mit dem Vertrag über lokale Schnittstellen interagierten, sei die Situation anders, sagten die Entwickler. Laut dem Medium-Beitrag gelten die letzteren Nutzer als “sicher”, da Änderungen an Commits “leicht auditiert” werden können.
Einleger Beraten, Einlagenbelege zu Ändern
In der Zwischenzeit lieferten die Entwickler eine Erläuterung, wie der Angreifer den Code nutzte, um Mittel von mindestens einem Einleger umzuleiten.
“Die oben genannte Funktion codiert private Einlagenbelege so, dass sie wie Aufrufdaten erscheinen, und sie verbirgt die Funktion window.fetch, damit sie nicht als Funktion erscheint, die Einlageninformationen an einen persönlichen Server des Angreifers durchsickert.”
Um zu verhindern, dass der Angreifer diese Aktion wiederholt, rieten die Entwickler den Einlegern, ihre Belege über eine empfohlene und zuvor genutzte IPFS-Kontext-Hash-Deployment zu ändern. Zudem riefen sie auch Inhaber des TORN-Tokens dazu auf, jegliche Vorschläge, die ebenfalls vom Angreifer eingesetzt wurden, abzulehnen.
Was denken Sie über diese Geschichte? Lassen Sie uns Ihre Meinung im Kommentarbereich unten wissen.
