Tornado Cash 网站在社区在协议后端发现恶意代码后离线不和谐

　　据报道，加密货币混合器 Tornado Cash 已成为重大后端漏洞的受害者，该漏洞使用户存款和敏感数据面临风险。

　　社区成员 Gas404 于 26 月 XNUMX 日在 Medium 帖子中披露了这一安全漏洞。

　　该漏洞是 Tornado Cash 的一个严重漏洞，自 2022 年 XNUMX 月美国财政部外国资产控制办公室 (OFAC) 制裁以来，Tornado Cash 的交易量已经大幅下降。

　　这些制裁是针对加密货币行业的更广泛措施的一部分，甚至在漏洞利用之前就已大大减少了混合器的运营规模。

　　恶意代码

　　根据 Medium 的帖子，在协议的后端发现了恶意 JavaScript 代码。据报道，该资金是通过一名冒充 Tornado Cash 开发者的个人于 1 月 XNUMX 日提交的一份受损治理提案注入的。

　　该代码秘密地将用户存款信息重定向到攻击者控制的服务器，构成双重威胁——存款数据暴露和存款本身被彻底盗窃。

　　Etherscan 上的交易记录已证实其中一起盗窃事件，凸显了该漏洞的直接影响。

　　社区帖子详细讨论了该漏洞的技术细节，说明了攻击的复杂性。

　　具体来说，恶意代码旨在对私人存款票据进行编码和窃取，从而有效地破坏了 Tornado Cash 用户所依赖的匿名性和安全性。

　　拟议的解决方案

　　为了应对危机，Gas404 提出了一个减轻损害的解决方案：将 Tornado Cash 恢复到其 IPFS 部署的先前版本。

　　此举旨在通过利用先前建立的、表面上安全的基础设施设置来保护平台免受当前漏洞的影响。

　　拟议的变更强调了解决去中心化平台内安全缺陷的紧迫性，在这些平台上，治理建议可能会被出于恶意目的而操纵。

　　消息曝光后，Tornado Cash 网站和 Discord 频道已下线，但尚未恢复上线，这表明该漏洞的严重性以及遏制其影响的持续努力。