Исследователь нашел бэкдор в коде Tornado Cash В коде
криптовалютного миксера Tornado Cash обнаружили вредоносный
JavaScript, который почти два месяца передавал данные депозитных сертификатов
(deposit notes) на удаленный сервер.
Депозитные
сертификаты работают как приватные ключи для средств, прошедших через миксер, и могут использоваться для повторного доступа к активам уже после их
«смешивания». Обнаруженный бэкдор ставит под угрозу конфиденциальность и безопасность всех операций, проведенных через
IPFS (запущенный 1 января 2024 года), включая
ipfs io, cf-ipfs com и eth link. Сообщается, что вредоносный код был внедрен два месяца назад через governance proposal (номер 47) неким
Butterfly Effects (предположительно, один из комьюнити-разработчиков). Первым эту проблему заметил исследователь под ником
Gas404, а затем его находку подтвердил и основатель компании
SlowMist, специализирующейся на блокчейн-безопасности. В своем отчете
Gas404 призвав все заинтересованные стороны поскорее наложить вето на вредоносные
governance proposal. Gas404 отмечает, что вредоносная функциональность кодирует приватные
депозитные сертификаты, чтобы те выглядели как обычные данные блокчейн-транзакций, и скрывает использование функции
window fetch.
