Un code JavaScript malveillant caché dans une proposition de gouvernance de trésorerie Tornado divulgue des notes de dépôt et des données sur un serveur privé depuis près de deux mois.

Cette fuite compromet la confidentialité et la sécurité de toutes les transactions de fonds effectuées via les déploiements IPFS, telles que ipfs.io, cf-ipfs.com, et passerelles eth. link depuis le 1er janvier.

Un chercheur en sécurité utilisant le surnom Gas404 a découvert et signalé le code malveillant, exhortant les parties prenantes à opposer leur veto aux propositions de gouvernance malveillantes.

Tornado Cash est un mélangeur décentralisé et open source sur la blockchain Ethereum qui assure la confidentialité des transactions grâce à une anonymisation non dépositaire, sans confiance et sans serveur.

Il utilise un système cryptographique à connaissance nulle nommé SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) pour permettre aux utilisateurs de déposer et de retirer des fonds de manière anonyme.

Outre les utilisateurs ayant des raisons légitimes de protéger leurs transactions des observateurs extérieurs, Tornado Cash a également été utilisé pour le blanchiment d’argent.

L’utilisation du mélangeur à des fins illégales a conduit à des sanctions aux États-Unis en 2022 et les fondateurs du projet ont été inculpés en 2023 pour avoir aidé des criminels à blanchir plus d’un milliard de dollars de crypto-monnaie volée.

Planter du code malveillant
Les propositions de gouvernance dans les organisations autonomes décentralisées (DAO) comme Tornado Cash sont des mécanismes fondamentaux pour définir des orientations stratégiques, introduire des mises à jour et modifier le cœur des protocoles techniques.

Ils sont soumis par les détenteurs de jetons de la chaîne et sont ensuite discutés et votés par la communauté du projet. Si elles sont acceptées, les propositions sont mises en œuvre dans le protocole.

Dans le cas du compromis Tornado Cash, un code JS malveillant a été introduit il y a deux mois via une proposition de gouvernance (numéro 47) de « Butterfly Effects » – prétendument un développeur communautaire, et a modifié le protocole pour divulguer des notes de dépôt au serveur de l’attaquant.

Gas404 dit que la fonction malveillante encode les notes de dépôt privées pour les faire apparaître comme des données d’appel de transaction blockchain régulières et masque l’utilisation de la fenêtre.fonction fetch ‘ pour obscurcir davantage le mécanisme d’exploitation.

Les développeurs de Tornado Cash ont confirmé le compromis et mis en garde contre les risques, conseillant aux utilisateurs de retirer leurs anciens billets et éventuellement exposés et de les remplacer par des billets nouvellement générés.

En outre, les détenteurs de jetons ayant le droit de vote ont été invités à annuler leurs votes pour la proposition 47 visant à annuler les modifications du protocole et à supprimer le code malveillant.

Cela n’éliminera pas la fuite des données sensibles, à travers. Pour atténuer le risque, Gas404 conseille aux utilisateurs potentiellement exposés de passer à un déploiement IPFS ContextHash spécifique précédemment recommandé et vérifié via Tornado Cash governance.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *