由于恶意代码渗透到 Tornado Cash 中,Tornado Cash 后端攻击导致用户存款暴露。美国财政部 8 月份实施制裁后,交易量大幅下降。Gas404 建议恢复到安全的 IPFS ContextHash 部署来解决问题。用户在去中心化代币混合器上存款,Tornado Cash 后端受到攻击,面临严重的安全威胁。
社区成员 Gas404 在 Medium 上发表的一篇文章揭露了协议后端插入恶意代码的行为,可能会危及用户资金的安全。据 Gas404 称,邪恶的 javascript 代码被巧妙地隐藏在一名据称是 Tornado Cash 开发者于 1 月 1 日提交的治理提案中。该恶意代码的主要功能是将存款数据重定向到由涉嫌开发者控制的公共服务器,从而危及了该开发者的机密性。
该漏洞不仅泄露存款数据,还包括旨在彻底窃取存款的功能。 Gas404 报告称该漏洞已成功执行,导致至少一笔存款被盗(etherscan 上已证明)。
这次安全漏洞对 Tornado Cash 来说是一个重大打击,因为它的交易量骤降了 90% 以上。 这一下降是在美国财政部外国资产控制办公室 (OFAC) 于 2022 年 8 月实施制裁之后出现的,突显了以隐私为重点的项目面临的监管挑战。
为了应对危机,Gas404 提出了一个解决方案——建议回滚到早期版本的 Tornado Cash 中使用的 IPFS ContextHash 部署。 此建议旨在减轻恶意代码的影响并恢复用户对平台安全性的信心。
在 Tornado Cash 社区努力应对这一安全事件时,更广泛的加密社区正在密切关注事态发展,强调在快速发展的去中心化金融格局中保持警惕和透明度的重要性。