DAO, viết tắt của các tổ chức tự trị phi tập trung, cho phép chủ sở hữu token khóa cổ phần của họ dưới dạng phiếu bầu cho việc đề xuất thay đổi dự án. Những thay đổi này có thể bao gồm từ việc triển khai quỹ kho bạc cho các mục đích có lợi cho dự án đến việc mở rộng trên các mạng khác.
Vào đầu tuần, kẻ tấn công đã đưa ra một đề xuất độc hại che giấu chức năng mã, cấp cho chúng phiếu bầu giả hiện có thể được sử dụng để xử lý một số khía cạnh trong Tornado Cash, như quản lý lượng TORN được giữ trong hợp đồng quản trị chính hoặc rút lượng TORN bị khóa.
Điều này được thực hiện bằng cách đưa ra một đề xuất bắt chước phiên bản trước đó – ngoại trừ một số mã độc cập nhật logic cho phép kẻ tấn công truy cập vào tất cả các phiếu bầu quản trị.
Once the proposal was passed by voters, the attacker simply used the emergencyStop function to update the proposal logic to grant themselves the fake voteshttps://t.co/JgYk9PJg6Ohttps://t.co/y3bjglXD7J pic.twitter.com/kpGXC3LtjW
— @samczsun.com (@samczsun) May 20, 2023
Cuộc tấn công này không ảnh hưởng đến giao thức Tornado Cash thực tế – giao thức cho phép người dùng chuyển tiền với dịch vụ che giấu hoặc làm mờ nhạt chuyển động của dòng tiền và địa chỉ tiền điện tử. Cuộc tấn công này không khai thác hợp đồng thông minh hoặc công nghệ liên quan đến hoạt động của Tornado Cash.
Trong khi đó, cộng đồng Tornado Cash đã đưa ra các đề xuất mới hơn nhằm tìm cách hoàn nguyên các thay đổi được thực hiện đối với mã. Một thành viên trong cộng đồng đã quan sát thấy rằng kẻ tấn công đã cố tình đúc hơn 1 triệu TORN cho chúng, với giá trị hơn 4 triệu đô la theo giá hiện tại.
Nguồn: Coindesk
Về chúng tôi
Cryptoholic – Invest crypto with you
