Специалисты обнаружили уязвимость в Tornado Cash

Пользователь под ником Gas404 рассказал о том, что нашел вредоносный код в бэкенде протокола Tornado Cash. В опасности оказались личные данные и средства пользователей скандального миксера.

Что происходит

Сообщается, что хакер скрыл вредоносный код в предложении по управлению, которое предложил один из разработчиков сервиса еще в начале января. Код перенаправлял информацию о депозитах пользователей на сервер, контролируемый злоумышленником. В итоге тот мог похищать и личные данные, и средства жертвы.

По словам Gas404, бэкдор просуществовал до 24 января. То есть все депозиты, внесенные с начала месяца и до упомянутого числа, находятся под угрозой. При этом, как отмечает эксперт, пользоваться протоколом через локальный интерфейс безопасно.

К настоящему моменту зафиксирован только один случай кражи депозита.

Кто обзывается, тот сам так и называется

Тем временем пользователи Х (бывш. «Твиттер») наткнулись на интересную деталь. Согласно их наблюдениям, Gas404 связан с кошельком butterfly-effect.eth. Именно этот адрес и внес то самое предложение, в которое хакер внедрил вредоносный код.

Источник: Х

Предположительно, он и несет ответственность за инцидент. Однако в своей заметке Gas404 опроверг все эти обвинения.

Для исправления уязвимости криптоэксперт предложил разработчикам Tornado Cash откатить сервис до предыдущей версии.

Tornado Cash — любимый сервис преступников

Ранее выяснилось, что за 2023 год через криптомиксер отмыли криптовалюту на сумму в более $800 млн, несмотря на санкции. Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело их против Tornado Cash еще в августе 2022 года. С тех пор объем торгов сервиса сократился более чем на 90%.

Разработчики криптомиксера сейчас находятся в процессе судебных разбирательств. В конце января мы писали о том, что они основали специальный фонд под названием JusticeDAO. С помощью Coinbase и Эдварда Сноудена организации удалось собрать более $350 тыс.