Gli sviluppatori di Tornado Cash hanno emesso un avviso di truffa agli utenti di criptovalute che hanno effettuato depositi tramite i gateway di IPFS tra il 1° gennaio e il 24 febbraio. Gli sviluppatori sospettano che un malintenzionato possa aver “divulgato” i depositi di Tornado Cash durante questo periodo a un server sotto il loro controllo.
Avviso agli utenti: gli sviluppatori di Tornado Cash avvertono del rischio per i fondi depositati dal 1 gennaio
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
‘Codice Javascript Maligno’
Gli sviluppatori di Tornado Cash, un mixer di criptovalute basato su smart contract, hanno emesso un avviso di truffa agli utenti che hanno effettuato depositi tramite i gateway della società di servizi finanziari IPFS a partire dal 1° gennaio. Gli sviluppatori affermano che le note di deposito di tali utenti potrebbero essere state esposte a un “codice javascript maligno”.
Gli sviluppatori sospettano che un malintenzionato possa aver “divulgato” i depositi di Tornado Cash durante questo periodo a un server sotto il loro controllo. In un post su Medium che conferma l’esistenza del codice, gli sviluppatori hanno rivelato che il codice era stato nascosto dalla proposta di governance presentata da Butterfly Effects, uno sviluppatore della comunità di Tornado Cash.
Tuttavia, secondo gli sviluppatori, la fuga di depositi suddetta sembra applicarsi solo alle implementazioni di Tornado Cash su IPFS. Per gli utenti che hanno interagito con il contratto utilizzando interfacce locali, la situazione è diversa, hanno detto gli sviluppatori. Secondo il post su Medium, questi ultimi utenti sono considerati “sicuri” poiché le modifiche ai commit possono essere “facilmente verificate”.
Si consiglia ai depositanti di modificare le note di deposito
Nel frattempo, gli sviluppatori hanno fornito una spiegazione di come il malintenzionato abbia utilizzato il codice per dirottare fondi da almeno un depositante.
“La funzione sopra codifica le note di deposito private in modo che appaiano come dati di chiamata e nasconde la funzione window.fetch per non essere vista come una funzione che divulga informazioni sul deposito a un server personale del malintenzionato.”
Per prevenire che il malintenzionato ripeta questa azione, gli sviluppatori hanno consigliato ai depositanti di trasferire le loro note tramite un deployment del hash di contesto IPFS raccomandato e precedentemente utilizzato. Inoltre, hanno anche chiamato i detentori di token TORN a mettere il veto su qualsiasi proposta che sia stata anche distribuita dal malintenzionato.
Quali sono i vostri pensieri su questa storia? Fateci sapere cosa ne pensate nella sezione commenti qui sotto.
