[亚伯拉罕]龙卷风现金漏洞：开发商自 1 月 1 日起就标记存款风险

目录

• 用户存款简单遭到攻击

• 龙卷风现金的陨落

依据化名 Tornado Cash 开发商“Gas404”的说法，运用 IPFS 网关经过 ipfs.io、cf-ipfs.com 和 eth.link 等 IPFS 网关向 Tornado Cash 进行的存款可能已被走漏，从而可能运用户的存入资金面对风险。 .’

主张受影响的用户当即采取举动保护其存款。

用户存款简单遭到攻击

依据 Gas404 的博客文章，社区对歹意 JavaScript 代码的存在做出了惊人的发现，这些代码躲藏在据称是 Tornado Cash 开发者（称为“蝴蝶效应”）提交的治理提案中。

据推测，这个躲藏代码自 1 月 1 日起就一直在向开发商操控的私家服务器走漏存款收据。

值得注意的是，风险好像仅限于 Tornado Cash 的 IPFS 布置，由于 Gas404 说到能够在本地接口上轻松审核缩小源代码的更改。

为了减轻潜在的损害，该帖子主张 Tornado Cash 原生代币 TORN 的持有者对攻击者之前布置的两个有问题的提案进行投票否决。

“这只会计入 Tornado Cash 的 IPFS 布置，由于缩小的源已成为诈骗者的躲藏陷阱，因此运用本地接口与合约交互的人将被认为是安全的，由于能够轻松审核提交的更改。 ”

龙卷风现金的陨落

Tornado Cash 是世界上最受欢迎的加密钱银混合器之一。

美国财政部外国财物操控办公室 (OFAC) 于 2022 年 8 月制裁了 Tornado Cash，制止美国境内的个人、居民和实体经过该渠道进行金融交易，这是一次严重打击。

美国财政部宣称，加密钱银混合器帮助洗钱了超越 70 亿美元的数字钱银，其间 4.55 亿美元据信是在 2022 年被与朝鲜政府有联系的臭名远扬的实体 Lazarus Group 盗取的。

随后，该项意图域名被查封，GitHub 删除了 Tornado Cash 存储库，同时暂停了开发者的账户，引发了隐私倡导者的强烈抗议。

微软旗下的渠道后来取消了混币器和贡献者的禁令。

上一年 5 月，攻击者选用欺骗性提议来夺取 Tornado Cash 去中心化自治安排 (DAO) 的操控权。

该提案包括一个躲藏代码，该代码在 DAO 批准后颁发黑客对欺诈性投票代币的所有权。

投票成功后，黑客积累了满足的投票权来操作未来的提案。

到月底，黑客好像抛弃了操控权，将部分被盗的价值约 90 万美元的治理代币转换为以太币，然后经过 Tornado Cash 服务进行洗钱。

让事情愈加复杂的是，别的两名 Tornado 开发商 Roman Storm 和 Roman Semenov 面对涉嫌参加洗钱活动的指控，涉案金额总计 10 亿美元。

罗曼·斯托姆随后在华盛顿州被捕，并对针对他的指控表明“无罪”。

龙卷风现金缝隙：开发商自 1 月 1 日起符号存款风险一文首要出现在 CryptoPotato 上。

此时快讯

【XAI代币质押系统v1版本已上线】2月28日消息，Arbitrum生态游戏Layer 3解决方案XAI发推称，XAI代币质押系统v1版本现已上线，同时上线esXAI至XAI赎回功能。