El exploit fue introducido en el backend del protocolo, el cual le permite hacer seguimiento a las transacciones y robar los fondos depositados por los usuarios.
***
Tornado Cash es víctima de un exploit
Este permite hacer seguimiento a las transacciones y robar fondos
Un desarrollador advierte a la comunidad de usuarios y pide hacer ciertos cambios si se desea operar en el protocolo
No es la primera vez que Tornado Cash es víctima de un ataque
Tornado Cash, el servicio mezclador de transacciones, aparentemente está siendo víctima de un exploit a razón de un código malicioso insertado por atacantes, lo cual podría comprometer la integridad de los fondos de los usuarios.
Exploit en Tornado Cash
Así lo dio a conocer uno de los miembros de la comunidad de Tornado Cash, Gas404, quien publicó un documento bastante detallado a través de Medium revelando detalles sobre el exploit en cuestión, haciendo un llamado a los usuarios para tomar precauciones.
“Si ha depositado [fondos] en Tornado Cash utilizando puertas de enlace IPFS (como ipfs.io, cf-ipfs.com, eth.link), su nota probablemente quedará expuesta y los fondos depositados estarán en riesgo”, advirtió Gas404, indicando que esto ocurre a razón de un código malicioso que fue insertado en el back-end del protocolo.
En cuanto al ataque, se describe de la siguiente manera:
Recientemente, la comunidad descubrió que un código javascript malicioso estaba oculto en la propuesta de gobernanza de hace dos meses realizada por el supuesto desarrollador de la comunidad Tornado Cash, Butterfly Effects, de la propuesta de gobernanza anterior 44 y, por lo tanto, estimamos que desde el 1 de enero las notas de depósito de Tornado Cash se filtran a un servidor malicioso privado propiedad del presunto desarrollador.
A razón de lo antes expuesto, hay mecanismos y maniobras empleadas por los atacantes para robar los activos. De hecho, ya algunos fondos fueron robados el pasado viernes, por lo que se pide a los usuarios tener precaución a la hora de operar a través de Tornado Cash e implementar una serie de cambios detallados en la publicación.
Los problemas con el gobierno estadounidense
Los anuncios sobre el exploit presente en Tornado Cash se suman a los problemas que ya venía afrontando el servicio desde hace ya varios meses, ya que ha sido objeto de sanciones por parte del gobierno estadounidense y algunos de sus desarrolladores están en prisión.
En cuanto al servicio, este fue señalado por el Departamento del Tesoro en agosto de 2022, por lo que sus direcciones se incluyeron en la lista negra de la Oficina de Control de Activos Extranjeros (OFAC). La medida llevó a que Tornado Cash experimentase una caída del 90% en su flujo de operaciones, esto tras ser señalada como un servicio para el lavado de capital.
Las medidas contra Tornado Cash fueron justificadas tras el presunto uso del servicio por hackers norcoreanos, concretamente el grupo Lazarus, el cual ha venido transfiriendo al servicio parte de los fondos robados en ataques de alto perfil con la intención de limpiar el rastro y eludir a las autoridades.
En cuanto a Tornado Cash, esta no es la primera vez que el servicio es víctima de un hackeo. En mayo de 2023, la plataforma fue objeto de un ataque donde los responsables se hicieron protocolo y acuñaron tokens por valor de USD $4 millones, pero después devolvieron el control a la comunidad.
Artículo de Angel Di Matteo / DiarioBitcoin
Imagen de Unsplash
DiarioBitcoin