cryptopolitan.com
Tornado Cash , un nombre que representaba privacidad, seguridad y controversia en la comunidad criptográfica, acaba de recibir una revelación preocupante. Un desarrollador, conocido entre la comunidad como Butterfly Effects, supuestamente introdujo de contrabando JavaScript malicioso en una propuesta de gobernanza, tomando a todos por sorpresa. Desde principios de año, parece que cualquiera que haya utilizado puertas de enlace IPFS para interactuar con Tornado Cash podría haber visto comprometidas sus notas de depósito, enviándolas directamente a un servidor bajo el control del supuesto desarrollador.
Para los no iniciados, Tornado Cash sirve como una solución de privacidad sin custodia, que permite a los usuarios realizar transacciones en la Ethereum sin dejar trac . Este reciente exploit gira en torno a un fragmento de código que debía pasar desapercibido. Fue diseñado para arrebatar notas de depósito y canalizarlas a un servidor privado, todo ello bajo la apariencia de una propuesta de gobernanza benigna.
Pero aquí es donde las cosas se ponen interesantes: el exploit apuntaba a transacciones realizadas a través de implementaciones IPFS de Tornado Cash . En otras palabras, si interactuó con Tornado Cash mediante interfaces locales, dé un suspiro de alivio: estará a salvo, gracias a la transparencia y auditabilidad de las interacciones de trac directo.
El exploit en sí es un trabajo astuto. La verdad es que estoy impresionado por el trabajo. Básicamente, codifica notas de depósito privadas para que se hagan pasar por datos de llamadas, utilizando furtivamente la función window.fetch para transmitir esta información confidencial al servidor del atacante.
La comunidad descubrió el código de explotación a través de plataformas como Cloudflare IPFS y sus enlaces a una dirección sospechosa Ethereum . Sin embargo, hay un lado positivo en forma de medidas de recuperación que los usuarios y la comunidad pueden tomar para salvaguardar sus activos y la integridad de Tornado Cash . Una medida importante implica cambiar a una implementación IPFS ContextHash recomendada, que podría proteger a los usuarios de daños mayores. Este despliegue se valida mediante propuestas de gobernanza previas.
Como de costumbre, la comunidad se está uniendo, con entidades como los desarrolladores de ZeroTwoDAO y Gas404 que abogan por una postura proactiva contra tales exploits. Su llamado a la acción es que los titulares de TORN ejerzan sus derechos de voto y veten las propuestas que puedan albergar código malicioso.