Les développeurs de Tornado Cash ont émis un avertissement d’escroquerie aux utilisateurs de cryptomonnaie qui ont effectué des dépôts via les passerelles d’IPFS entre le 1er janvier et le 24 février. Les développeurs soupçonnent qu’un exploiteur ait pu “fuir” les dépôts de Tornado Cash pendant cette période vers un serveur sous leur contrôle.
Alerte Utilisateur : Les développeurs de Tornado Cash mettent en garde contre un risque pour les fonds déposés depuis le 1er janvier
Cet article a été publié il y a plus d'un an. Certaines informations peuvent ne plus être actuelles.
ÉCRIT PAR
PARTAGER
‘Code Javascript Malveillant’
Les développeurs de Tornado Cash, un mélangeur de cryptomonnaie basé sur un contrat intelligent, ont émis un avertissement d’escroquerie aux utilisateurs qui ont effectué des dépôts via les passerelles de la société de services financiers IPFS à partir du 1er janvier. Les développeurs affirment que les notes de dépôt de ces utilisateurs auraient pu être exposées à un “code javascript malveillant”.
Les développeurs soupçonnent qu’un exploiteur ait pu “fuir” les dépôts de Tornado Cash pendant cette période vers un serveur sous leur contrôle. Dans un article sur Medium confirmant l’existence du code, les développeurs ont révélé que le code avait été dissimulé lors de la proposition de gouvernance soumise par Butterfly Effects, un développeur de la communauté Tornado Cash.
Cependant, selon les développeurs, la fuite de dépôt mentionnée semble concerner uniquement les déploiements d’IPFS de Tornado Cash. Pour les utilisateurs qui ont interagi avec le contrat en utilisant des interfaces locales, la situation est différente, ont dit les développeurs. Selon l’article sur Medium, ces derniers utilisateurs sont considérés comme “sûrs” puisque les modifications sur les commits peuvent être “facilement auditées”.
Conseils aux déposants pour modifier les notes de dépôt
Entre-temps, les développeurs ont fourni un résumé de la manière dont l’exploiteur a utilisé le code pour détourner des fonds d’au moins un déposant.
“La fonction ci-dessus encode les notes de dépôt privées pour qu’elles apparaissent comme des données d’appel et elle cache la fonction window.fetch pour qu’elle ne soit pas vue comme une fonction qui fuit les informations de dépôt vers un serveur personnel de l’exploiteur.”
Afin de prévenir la répétition de cette action par l’exploiteur, les développeurs ont conseillé aux déposants de transférer leurs notes via un déploiement de hash de contexte IPFS recommandé et précédemment utilisé. De plus, ils ont également appelé les détenteurs de jetons TORN à rejeter toute proposition qui a également été déployée par l’exploiteur.
Quelle est votre opinion sur cette histoire ? Faites-nous savoir ce que vous pensez dans la section des commentaires ci-dessous.
