Tornado Cash yönetim teklifinde gizlenen kötü amaçlı JavaScript kodu, neredeyse iki aydır mevduat notlarını ve verileri özel bir sunucuya sızdırıyor.
Bu sızıntı, 1 Ocak’tan bu yana ipfs.io, cf-ipfs.com ve eth.link ağ geçitleri gibi IPFS dağıtımları aracılığıyla yapılan tüm fon işlemlerinin gizliliğini ve güvenliğini tehlikeye atıyor.
Takma adı kullanan bir güvenlik araştırmacısı Gaz404 Kötü amaçlı kodu keşfedip bildirdi ve paydaşları kötü amaçlı yönetim önerilerini veto etmeye çağırdı.
Tornado Cash, Ethereum blockchain üzerinde gözetimsiz, güvenilir ve sunucusuz anonimleştirme yoluyla işlemler için gizlilik sağlayan merkezi olmayan, açık kaynaklı bir karıştırıcıdır.
Kullanıcıların anonim olarak para yatırmasına ve çekmesine olanak sağlamak için SNARK (Sıfır Bilgi Kısa ve Etkileşimli Olmayan Bilgi Argümanı) adı verilen kriptografik bir sıfır bilgi sistemi kullanır.
Tornado Cash, işlemlerini dış gözlemcilerden korumak için meşru nedenleri olan kullanıcıların yanı sıra kara para aklama amacıyla da kullanılıyor.
Mikserin yasadışı amaçlarla kullanılması, 2022’de Amerika Birleşik Devletleri’nde yaptırımlara yol açtı ve projenin kurucuları, 2023’te suçluların 1 milyar dolardan fazla çalınan kripto para birimini aklamasına yardım etmekle suçlandı.
Kötü amaçlı kod yerleştirme
Tornado Cash gibi merkezi olmayan özerk kuruluşlardaki (DAO’lar) yönetim önerileri, stratejik yönlerin belirlenmesi, güncellemelerin sunulması ve teknik protokollerin özünde değişiklik yapılması için temel mekanizmalardır.
Bunlar zincirdeki token sahipleri tarafından sunulur ve daha sonra proje topluluğu tarafından tartışılır ve oylanır. Teklifler kabul edildiği takdirde protokole uygulanır.
Tornado Cash’in ele geçirilmesi durumunda, kötü niyetli JS kodu iki ay önce bir topluluk üyesi olduğu iddia edilen ‘Butterfly Effects’in yönetim teklifi (sayı 47) aracılığıyla tanıtıldı ve protokolü, mevduat notlarını saldırganın sunucusuna sızdıracak şekilde değiştirdi.
Gas404, kötü amaçlı işlevin özel mevduat notlarını normal blockchain işlem çağrısı verileri gibi görünmelerini sağlayacak şekilde kodladığını ve istismar mekanizmasını daha da karmaşık hale getirmek için ‘window.fetch’ işlevinin kullanımını gizlediğini söylüyor.
Tornado Cash Geliştiricileri, uzlaşmayı doğruladı ve riskler konusunda uyararak kullanıcılara eski ve muhtemelen açığa çıkmış notlarını geri çekmelerini ve bunları yeni oluşturulan notlarla değiştirmelerini tavsiye etti.
Ayrıca, oy hakkına sahip token sahiplerine, protokol değişikliklerini geri almak ve kötü amaçlı kodu kaldırmak için 47. teklife yönelik oylarını iptal etmeleri tavsiye edildi.
Ancak bu, hassas verilerin sızmasını ortadan kaldırmayacak. Gas404, riski azaltmak için potansiyel olarak saldırıya maruz kalan kullanıcılara, daha önce önerilen ve Tornado Cash yönetişimi aracılığıyla doğrulanan belirli bir IPFS ContextHash dağıtımına geçmelerini tavsiye ediyor.