Kripto süreçlerini izlenemez hale getiren Tornado Cash protokolü, bugün bir idare saldırısının kurbanı oldu. Berbat niyetli bir hacker kümesi, kendilerine gerekenden fazla oy vermek için bir evvelki teklifi kullandılar ve 10.000 doları ele geçirdiler. Hack haberi altcoin fiyatında %50’yi aşkın düşüşe yol açtı.
Tornado Cash hack saldırısının otopsi raporu
Tornado Cash kripto karıştırıcı projesinde, hile yapan ağ iştirakçilerini cezalandırmayı amaçlayan bir teklif, DAO oylamasında muvaffakiyetle kabul edilmişti. Lakin teklif sahibi, daha sonra kullanmak üzere ek bir fonksiyon ekledi. Bu sayede gerekenden fazla olan 1.2 milyon oy elde etti. Böylelikle 700,000 gerçek Tornado Cash oyunun üzerinde olan oy sayısıyla projenin tam denetimine sahip oldu.
Saldırgan esasen kilitli oyları boşalttı. Elde ettiği TORN token’larını kısa müddette sattı. TORN, sahibine oy hakkı veren ve akın sırasında 5 ila 7 dolar ortasında süreç gören idare tokeni. Saldırgan, daha sonra Tornado Cash üzerinden 360 ETH (655,300 dolar) karıştırdı. Bu halde süreçlerini izlemez hale getirdi. Bu ortada, token’ları sattığı için TORN’un bedeli %50’dan fazla düştü.
Saldırgan artık DAO üzerinde tam denetim sahibi. Bu nedenle, kilitli oyların tamamını çekebilme (bunu aslında yaptı), idare mukavelesindeki tüm token’ları boşaltabilme ve yönlendiriciyi “brick” (kalıcı olarak fonksiyonsuz hale getirme) edebilme yetkisine sahip.
Justin Sun yakından izlediklerini söyledi
Binance üzere merkezi borsalar Tornado Cash saldırısının akabinde TORN süreçlerini askıya aldı. Lakin, kimi borsalar süreçleri açık tutmaya devam ediyor. Bunlardan biri, Justin Sun dayanaklı Huobi idi. Tron kurucusu bugün Twitter’dan şunları yazdı:
TORN para yatırma ve çekme süreçleri HuobiGlobal ve Poloniex’de devam ediyor. Durumu yakından izliyoruz ve güvenliği sağlamak için siyasetimizi gerektiği üzere ayarlayabiliriz. Anlayışınız ve dayanağınız için teşekkür ederiz.
Bu altcoin’ler ele geçirildi
Saldırganlar ayrıyeten Tornado Cash Nova’nın Gnosis Chain’e dağıtılan bir proxy olduğundan ötürü, mukaveleyi yükselterek havuzlardaki tüm ETH’yi boşaltma yeteneğine sahipler.
Şu ana kadar, Tornado Cash saldırgan küme Bitrue’ye 6.000 TORN yatırdı. 380.000 TORN’u ETH ile değiştirdiler ve 372 ETH’yi Tornado Cash’e aktardılar. Saldırganların hala bir ölçü TORN’a sahip olduğu kestirim ediliyor.
Telafi süreci
Eski bir Tornado Cash geliştiricisinin, Tornado Cash’te var olan “kritik kusuru” gideren sıfırdan yeni bir kripto karıştırma hizmeti oluşturmaya çalıştığı bildiriliyor. Geliştirici, tahlilin “genel düzenleme gerektirmeden yahut kripto ülkülerinden ödün vermeden dürüst kullanıcıların anonimlik setlerini berbata kullanan bilgisayar korsanlarına karşı savunma yapması için topluluğu” güçlendireceğini umuyor.
Btcpiyasasi.com olarak kısa mühlet evvel ParaSpace’i maksat alan 5,4 milyon dolarlık hack saldırısını aktarmıştık.