В Tornado Cash найден бэкдор
Тысячи криптоинвесторов замерли в ожидании ответа, пострадали ли их активы.
Разработчики Tornado Cash, криптовалютного миксера, основанного на смарт-контрактах, предупредили пользователей , которые вносили депозиты через шлюзы IPFS в период с 1 января по 24 февраля, о потенциальном мошенничестве.
По мнению разработчиков, в это время злоумышленники могли перехватывать информацию о депозитах в Tornado Cash и перенаправлять её на контролируемый ими сервер. Причина в том, что в код, представленный сообществом разработчиков Tornado Cash, был добавлен скрытый фрагмент с вредоносным JavaScript-содержимым.
Как отмечается, этот код был обнаружен в предложении по развитию экосистемы от одного из разработчиков Tornado Cash. По мнению команды, он был специально добавлен, чтобы перехватывать и перенаправлять данные о депозитах.
В отдельном посте , опубликованном на платформе Media, разработчики предоставили подробное описание того, как именно злоумышленники использовали этот код для перехвата информации о депозитах и последующего перенаправления средств.
Чтобы предотвратить повторение подобных инцидентов, разработчики рекомендуют пользователям, совершавшим транзакции через IPFS в указанный период, изменить записи о депозитах. А также призывают держателей токенов TORN заблокировать любые предложения по развитию экосистемы, исходящие от этого разработчика.
При использовании локальных интерфейсов взаимодействия с контрактом риски компрометации минимальны, так как изменения кода легко отследить, отмечают разработчики.
Сложившаяся ситуация вызывает опасения относительно безопасности экосистемы Tornado Cash, особенно с учётом того, что злоумышленнику удалось внедрить вредоносный код в официальное предложение по развитию экосистемы.
Эксперты полагают, что такие инциденты могут негативно сказаться на репутации децентрализованных финансовых сервисов. Хотя сторонники Тornado Cash утверждают, что эта ситуация также демонстрирует способность сообщества оперативно реагировать на возникающие угрозы.
Так или иначе, учитывая огромные масштабы аудитории Tornado Cash, последствия инцидента могут быть весьма серьёзными как для самой экосистемы, так и для всей индустрии децентрализованных финансов.
Пока неясно, удалось ли злоумышленникам получить доступ к каким-либо существенным суммам средств пользователей Tornado Cash. Но сам факт компрометации вызывает обеспокоенность и требует дальнейшего тщательного расследования.
Не лишним будет напомнить, что сама платформа Tornado Cash с 2022 года находится под американскими санкциями по причине неоднократной помощи киберпреступникам в отмывании незаконно добытых средств.
Ваша приватность умирает красиво, но мы можем спасти её.