Los desarrolladores de Tornado Cash han emitido una advertencia de estafa a los usuarios de criptomonedas que hicieron depósitos a través de las puertas de enlace de IPFS entre el 1 de enero y el 24 de febrero. Los desarrolladores sospechan que un explotador pudo haber “filtrado” depósitos de Tornado Cash durante este período a un servidor bajo su control.
Alerta de Usuario: Los desarrolladores de Tornado Cash advierten del riesgo para los fondos depositados desde el 1 de enero
Este artículo se publicó hace más de un año. Alguna información puede no estar actualizada.
ESCRITO POR
COMPARTIR
‘Código Javascript Malicioso’
Los desarrolladores de Tornado Cash, un mezclador de criptomonedas basado en contratos inteligentes, han emitido una advertencia de estafa a los usuarios que hicieron depósitos a través de las puertas de enlace de la firma de servicios financieros IPFS a partir del 1 de enero. Los desarrolladores afirman que las notas de depósito de dichos usuarios podrían haber estado expuestas a un “código javascript malicioso”.
Los desarrolladores sospechan que un explotador pudo haber “filtrado” depósitos de Tornado Cash durante este período a un servidor bajo su control. En una publicación de Medium confirmando la existencia del código, los desarrolladores revelaron que el código había sido ocultado de la propuesta de gobernanza presentada por Butterfly Effects, un desarrollador de la comunidad de Tornado Cash.
Sin embargo, según los desarrolladores, la supuesta filtración de depósitos aplicaba solo a las implementaciones de Tornado Cash en IPFS. Para los usuarios que interactuaron con el contrato mediante interfaces locales, la situación es diferente, dijeron los desarrolladores. Según la publicación en Medium, los últimos usuarios se consideran “seguros” ya que los cambios en los commits pueden ser “fácilmente auditados”.
Se aconseja a los depositantes alterar las notas de depósito
Mientras tanto, los desarrolladores proporcionaron un desglose de cómo el explotador utilizó el código para desviar fondos de al menos un depositante.
“La función anterior codifica las notas privadas de depósito para que parezcan datos de llamada y oculta la función window.fetch para que no se vea como una función que filtra información de depósito a un servidor personal del explotador.”
Para evitar que el explotador repita esta acción, los desarrolladores aconsejaron a los depositantes que transfieran sus notas a través de una implementación de hash de contexto IPFS recomendada y previamente utilizada. Además, también llamaron a los poseedores de tokens TORN a vetar cualquier propuesta que también haya sido desplegada por el explotador.
¿Qué opinas sobre esta historia? Déjanos saber lo que piensas en la sección de comentarios a continuación.
