目錄

• 用戶存款容易受到攻擊

• 龍卷風現(xiàn)金的隕落

根據(jù)化名 Tornado Cash 開發(fā)商“Gas404”的說法，使用 IPFS 網(wǎng)關通過 ipfs.io、cf-ipfs.com 和 eth.link 等 IPFS 網(wǎng)關向 Tornado Cash 進行的存款可能已被泄露，從而可能使用戶的存入資金面臨風險。 .'

建議受影響的用戶立即采取行動保護其存款。

用戶存款容易受到攻擊

根據(jù) Gas404 的博客文章，社區(qū)對惡意 JavaScript 代碼的存在做出了驚人的發(fā)現(xiàn)，這些代碼隱藏在據(jù)稱是 Tornado Cash 開發(fā)者（稱為“蝴蝶效應”）提交的治理提案中。

據(jù)推測，這個隱藏代碼自 1 月 1 日起就一直在向開發(fā)商控制的私人服務器泄露存款票據(jù)。

值得注意的是，風險似乎僅限于 Tornado Cash 的 IPFS 部署，因為 Gas404 提到可以在本地接口上輕松審核縮小源代碼的更改。

為了減輕潛在的損害，該帖子建議 Tornado Cash 原生代幣 TORN 的持有者對攻擊者之前部署的兩個有問題的提案進行投票否決。

“這只會計入 Tornado Cash 的 IPFS 部署，因為縮小的源已成為詐騙者的隱藏陷阱，因此使用本地接口與合約交互的人將被認為是安全的，因為可以輕松審核提交的更改。 ”

龍卷風現(xiàn)金的隕落

Tornado Cash 是世界上最受歡迎的加密貨幣混合器之一。

美國財政部外國資產(chǎn)控制辦公室 (OFAC) 于 2022 年 8 月制裁了 Tornado Cash，禁止美國境內(nèi)的個人、居民和實體通過該平臺進行金融交易，這是一次重大打擊。

美國財政部聲稱，加密貨幣混合器幫助洗錢了超過 70 億美元的數(shù)字貨幣，其中 4.55 億美元據(jù)信是在 2022 年被與朝鮮政府有聯(lián)系的臭名昭著的實體 Lazarus Group 竊取的。

隨后，該項目的域名被查封，GitHub 刪除了 Tornado Cash 存儲庫，同時暫停了開發(fā)者的賬戶，引發(fā)了隱私倡導者的強烈抗議。

微軟旗下的平臺后來取消了混幣器和貢獻者的禁令。

去年 5 月，攻擊者采用欺騙性提議來奪取 Tornado Cash 去中心化自治組織 (DAO) 的控制權。

該提案包含一個隱藏代碼，該代碼在 DAO 批準后授予黑客對欺詐性投票代幣的所有權。

投票成功后，黑客積累了足夠的投票權來操縱未來的提案。

到月底，黑客似乎放棄了控制權，將部分被盜的價值約 90 萬美元的治理代幣轉(zhuǎn)換為以太幣，然后通過 Tornado Cash 服務進行洗錢。

讓事情更加復雜的是，另外兩名 Tornado 開發(fā)商 Roman Storm 和 Roman Semenov 面臨涉嫌參與洗錢活動的指控，涉案金額總計 10 億美元。

羅曼·斯托姆隨后在華盛頓州被捕，并對針對他的指控表示“無罪”。

龍卷風現(xiàn)金漏洞：開發(fā)商自 1 月 1 日起標記存款風險一文首先出現(xiàn)在 CryptoPotato 上。

熱點：亞伯 亞伯拉罕 開發(fā)商