Tornado Cash DAO з'явилася підозріла пропозиція щодо управління! Дослідник попереджає про контроль над скарбницею в розмірі 23 мільйонів доларів

Блокчейн-дослідник безпеки Sergey Shemyakov 25 червня опублікував термінове попередження на платформі X, що близько 8 годин тому в Tornado Cash DAO з'явилася високопідозріла пропозиція щодо управління: код контракту не був верифікований, кошти автора пропозиції були замасковані через протокол конфіденційності Railgun, а цільовий контракт використовував механізм delegatecall — якщо пропозиція пройде, атакуючий зможе отримати контроль над майже 23 мільйонами доларів США у TORN зі скарбниці DAO.

(Попередній контекст: Міністерство фінансів США скасувало санкції проти міксера Tornado Cash, TORN зріс на 74%)

(Додаткова інформація: Засновнику міксера Tornado Cash загрожує 64 місяці ув'язнення! Прокуратура Нідерландів: він створив глобальний центр відмивання грошей)

Зміст статті

Toggle

• Чотири основні аномальні сигнали: детальний аналіз
• Пул міксера безпечний, скарбниця DAO — єдина ціль
• Чи повториться історія 2023 року?

Блокчейн-дослідник безпеки Sergey Shemyakov 25 червня опублікував попередження на платформі X, що близько 8 годин тому в Tornado Cash DAO з'явилася високопідозріла пропозиція щодо управління, закликаючи спільноту провести незалежний аудит. Пропозиція містить кілька аномальних сигналів, і якщо вона буде прийнята, це може безпосередньо загрожувати токенам TORN вартістю близько 23 мільйонів доларів у скарбниці DAO.

Чотири основні аномальні сигнали: детальний аналіз

Дослідник перерахував чотири небезпечні характеристики цієї пропозиції. По-перше, код контракту пропозиції не був верифікований — це надзвичайно рідкісне явище в історії пропозицій Tornado Cash DAO, і дослідник вважає, що це вже є явним сигналом зловмисних намірів. По-друге, адреса автора пропозиції отримала кошти через протокол конфіденційності Railgun 4 дні тому, джерело замасковане, модель поведінки високопідозріла. По-третє, опис пропозиції, ймовірно, містить ввідний характер, намагаючись ввести в оману виборців щодо справжніх ризиків.

Але найкритичніша аномалія — четверта: якщо цільовий контракт пропозиції буде прийнятий і виконаний, контракт управління викличе функцію цільового контракту через delegatecall. Цей механізм означає, що атакуючий зможе отримати надзвичайно високі дозволи в DAO, включаючи контроль над виведенням коштів зі скарбниці.

Пул міксера безпечний, скарбниця DAO — єдина ціль

Дослідник наголошує, що контракти самого пулу міксера Tornado Cash не зазнають впливу цієї пропозиції, кошти користувачів у безпеці. Мета цієї атаки повністю зосереджена на рівні управління DAO — якщо пропозиція пройде, атакуючий зможе безпосередньо використати токени TORN вартістю близько 23 мільйонів доларів зі скарбниці DAO, не впливаючи на роботу сервісу міксера.

Чи повториться історія 2023 року?

Варто зазначити, що Tornado Cash DAO вже стикався з подібною загрозою не вперше. У травні 2023 року атакуючий через зловмисну пропозицію щодо управління успішно отримав 1,2 мільйона фальшивих голосів, захопив контроль над протоколом і викрав 10 000 TORN, що призвело до падіння ціни токена на 50%. Тоді OpenZeppelin класифікував цю атаку як "метаморфічну атаку" (metamorphic attack), підкреслюючи вроджену вразливість механізму управління DAO.

Shemyakov закликає всіх власників токенів TORN зберігати пильність, поки пропозиція не перейде до етапу голосування, самостійно перевіряти зміст пропозиції та не голосувати сліпо.