Entwickler von Tornado Cash haben eine Betrugswarnung an Kryptowährungsnutzer herausgegeben, die Einzahlungen über die Gateways von IPFS zwischen dem 1. Januar und dem 24. Februar getätigt haben. Die Entwickler vermuten, dass ein Ausnutzer während dieses Zeitraums Tornado Cash-Einzahlungen “geleakt” haben könnte, zu einem Server unter ihrer Kontrolle.
Benutzeralarm: Tornado Cash-Entwickler warnen vor Risiko für seit dem 1. Januar eingezahlte Gelder
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
‘Bösartiger Javascript-Code’
Entwickler von Tornado Cash, einem auf Smart Contracts basierenden Kryptowährungsmixer, haben eine Betrugswarnung an Nutzer herausgegeben, die über die Gateways des Finanzdienstleisters IPFS ab dem 1. Januar Einzahlungen getätigt haben. Die Entwickler behaupten, dass die Einzahlungsscheine solcher Nutzer einem “bösartigen Javascript-Code” ausgesetzt gewesen sein könnten.
Die Entwickler vermuten, dass ein Ausnutzer während dieses Zeitraums Tornado Cash-Einzahlungen zu einem Server unter ihrer Kontrolle “geleakt” haben könnte. In einem Medium Beitrag, der die Existenz des Codes bestätigt, enthüllten die Entwickler, dass der Code von dem Governance-Vorschlag, der von Butterfly Effects, einem Entwickler der Tornado Cash-Community eingereicht wurde, verborgen wurde.
Allerdings, so die Entwickler, schien der besagte Einlagen-Leak nur auf IPFS-Einsatzbereiche von Tornado Cash anzuwenden. Für Nutzer, die mit dem Vertrag über lokale Schnittstellen interagiert haben, ist die Situation anders, sagten die Entwickler. Laut dem Medium-Beitrag gelten diese Nutzer als “sicher”, da Änderungen an Commits “leicht geprüft” werden können.
Empfehlung an Einzahler, ihre Einzahlungsscheine zu ändern
Unterdessen lieferten die Entwickler eine Aufschlüsselung, wie der Ausnutzer den Code verwendete, um Gelder von mindestens einem Einzahler umzuleiten.
“Die Funktion oben kodiert private Einzahlungsscheine, um wie Call-Daten auszusehen, und sie verbirgt die Funktion window.fetch, um nicht als eine Funktion gesehen zu werden, die Einzahlungsinformationen an einen persönlichen Server des Ausnutzers leakt.”
Um zu verhindern, dass der Ausnutzer diese Aktion wiederholt, rieten die Entwickler den Einzahlern, ihre Scheine über einen empfohlenen und zuvor verwendeten IPFS-Kontext-Hash-Einsatz zu übertragen. Darüber hinaus riefen sie auch TORN-Token-Inhaber dazu auf, alle Vorschläge abzulehnen, die ebenfalls von dem Ausnutzer eingesetzt wurden.
Was denken Sie über diese Geschichte? Lassen Sie uns Ihre Meinung im Kommentarbereich unten wissen.
