Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
CFD
Деривативы CFD на акции США
Акции США
Доступ к реальным акциям США и ETF
Акции Гонконга
Торгуйте качественными акциями, котирующимися в Гонконге
Корейские акции
SK Hynix
Торгуйте реальными корейскими акциями и инвестируйте в популярные активы
Фьючерсы на акции
Высокое кредитное плечо, круглосуточная торговля
Токенизированные акции
Обеспечено реальными акциями
IPO Access
Откройте полный доступ к глобальным IPO акций
GUSD
Создать GUSD для получения доходности казначейских RWA
Мероприятия, связанные с акциями
Торгуйте популярными акциями и получайте щедрые эирдропы
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
IPO Access
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
20 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
Tornado Cash DAO появилось подозрительное предложение по управлению! Исследователь предупреждает о контроле над казной в 23 миллиона долларов.
Блокчейн-исследователь безопасности Сергей Шемяков 25 июня на платформе X опубликовал экстренное предупреждение о том, что примерно 8 часов назад в Tornado Cash DAO появилось крайне подозрительное предложение по управлению: код контракта не был проверен, средства инициатора были скрыты через протокол конфиденциальности Railgun, а целевой контракт использует механизм delegatecall — в случае выполнения атакующий может получить контроль над почти 23 миллионами долларов TORN из казны DAO.
(Предыстория: Министерство финансов США отменило санкции против миксера Tornado Cash, TORN взлетел на 74%)
(Дополнение: Основателю миксера Tornado Cash грозит 64 месяца тюрьмы! Прокуратура Нидерландов: он создал глобальный рассадник отмывания денег)
Содержание
Toggle
Блокчейн-исследователь безопасности Сергей Шемяков 25 июня на платформе X опубликовал предупреждение о том, что примерно 8 часов назад в Tornado Cash DAO появилось крайне подозрительное предложение по управлению, призвав сообщество провести независимую проверку. В предложении имеется несколько аномальных сигналов, и в случае его выполнения это может напрямую угрожать токенам TORN стоимостью около 23 миллионов долларов в казне DAO.
Подробный анализ четырех аномальных сигналов
Исследователь перечислил четыре опасные особенности предложения. Во-первых, код контракта предложения не был проверен — это крайне редко встречается в истории предложений Tornado Cash DAO, и исследователь считает, что сам по себе этот факт является явным признаком злонамеренных намерений. Во-вторых, адрес создателя предложения получил средства через протокол конфиденциальности Railgun 4 дня назад, источник скрыт, модель поведения крайне подозрительна. В-третьих, описание предложения, по-видимому, содержит вводящую в заблуждение упаковку, направленную на то, чтобы отвлечь голосующих от реальных рисков.
Но самая критическая аномалия заключается в четвертом пункте: в случае принятия и выполнения предложения управляющий контракт вызовет функцию целевого контракта через delegatecall. Этот механизм означает, что атакующий может получить чрезвычайно высокие привилегии в DAO, включая контроль над выводом средств из казны.
Пул миксера безопасен, казна DAO — единственная цель
Исследователь подчеркнул, что контракты пула самого Tornado Cash не затронуты этим предложением, средства пользователей в безопасности. Цель данной атаки полностью сосредоточена на уровне управления DAO — если предложение будет принято, атакующий сможет напрямую распоряжаться токенами TORN стоимостью около 23 миллионов долларов из казны DAO, не влияя на работу сервиса миксера.
Повторение истории 2023 года?
Примечательно, что Tornado Cash DAO сталкивается с подобными угрозами не впервые. В мае 2023 года атакующий с помощью вредоносного предложения по управлению успешно получил 1,2 миллиона фиктивных голосов, захватил контроль над протоколом и украл 10 000 TORN, что привело к падению цены монеты на 50%. Тогда OpenZeppelin охарактеризовал эту атаку как «метаморфическую атаку» (metamorphic attack), подчеркнув внутреннюю уязвимость механизма управления DAO.
Шемяков призвал всех держателей TORN сохранять высокую бдительность до того, как предложение официально вступит в фазу голосования, самостоятельно проверять содержание предложения и не голосовать вслепую.