Разработчики Tornado Cash выпустили предупреждение о мошенничестве для пользователей криптовалют, которые совершали депозиты через шлюзы IPFS с 1 января по 24 февраля. Разработчики подозревают, что злоумышленник мог “утечь” депозиты Tornado Cash в этот период на сервер, находящийся под их контролем.
Предупреждение пользователя: Разработчики Tornado Cash предупреждают об риске для средств, внесенных с 1 января
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
‘Вредоносный Javascript код’
Разработчики Tornado Cash, миксера криптовалют на базе смарт-контрактов, выпустили предупреждение о мошенничестве для пользователей, которые совершали депозиты через шлюзы финансовой компании IPFS начиная с 1 января. Разработчики утверждают, что заметки о депозитах таких пользователей могли быть подвергнуты “вредоносному javascript коду”.
Разработчики подозревают, что злоумышленник мог “утечь” депозиты Tornado Cash в этот период на сервер, находящийся под их контролем. В посте на Medium подтверждая существование кода, разработчики раскрыли, что код был скрыт от предложения управления, представленного Butterfly Effects, разработчиком сообщества Tornado Cash.
Однако, согласно разработчикам, утечка депозита, по-видимому, касалась только развертываний IPFS Tornado Cash. Для пользователей, которые взаимодействовали с контрактом с использованием локальных интерфейсов, ситуация другая, сказали разработчики. Согласно посту на Medium, последние пользователи считаются “в безопасности”, поскольку изменения в коммитах можно “легко аудитировать”.
Депозиторам рекомендуется изменить заметки о депозитах
Тем временем разработчики предоставили разбивку того, как злоумышленник использовал код для перенаправления средств по крайней мере одного депозитора.
“Вышеуказанная функция кодирует приватные заметки о депозите так, чтобы они выглядели как вызов данных, и скрывает функцию window.fetch, чтобы она не была видна как функция, которая “утекает” информацию о депозите на личный сервер злоумышленника.”
Чтобы предотвратить повторение этого действия злоумышленником, разработчики посоветовали депозиторам перевести свои заметки через рекомендованный и ранее использованный контекстный хеш развертывания IPFS. Кроме того, они также призвали держателей токенов TORN отклонять любые предложения, которые также были развернуты злоумышленником.
Каково ваше мнение об этой истории? Дайте нам знать, что вы думаете, в разделе комментариев ниже.
