Les développeurs signalent le risque des dépôts depuis le 1er janvier

link – peuvent avoir été compromis, exposant potentiellement les fonds déposés des utilisateurs à des risques, selon le développeur pseudonyme de Tornado Cash 'Gas404..'

Il a été conseillé aux utilisateurs concernés de prendre des mesures immédiates pour protéger leurs dépôts.

Dépôts des utilisateurs vulnérables

Selon un article de blog de Gas404, la communauté a fait une découverte surprenante sur la présence de code JavaScript malveillant, caché dans une proposition de gouvernance soumise par un développeur présumé de Tornado Cash connu sous le nom de Butterfly Effects.

On suppose que ce code caché a divulgué des notes de dépôt vers un serveur privé contrôlé par le développeur depuis le 1er janvier.

Notamment, le risque semble être limité aux déploiements IPFS de Tornado Cash, puisque Gas404 a mentionné que les modifications apportées au code source minifié pourraient facilement être auditées sur les interfaces locales.

Pour atténuer les dommages potentiels, le message a recommandé aux détenteurs du jeton natif de Tornado Cash, TORN, de voter pour un veto sur les deux propositions douteuses précédemment déployées par l'exploiteur.

« Cela ne compterait que pour les déploiements IPFS de Tornado Cash puisque la source minifiée est devenue un piège caché pour un escroc et donc les personnes qui ont interagi avec le contrat en utilisant des interfaces locales seraient considérées comme en sécurité puisque les modifications apportées aux commits pourraient être facilement auditées. »

La chute de Tornado Cash

Tornado Cash est l’un des mélangeurs de cryptomonnaies les plus populaires au monde. Coup dur, l'Office of Foreign Assets Control (OFAC) du Département du Trésor américain a sanctionné Tornado Cash en août 2022, interdisant aux particuliers, aux résidents et aux entités aux États-Unis d'effectuer des transactions financières via la plateforme.

Le département du Trésor a allégué que le mélangeur cryptographique avait facilité le blanchiment de plus de 7 milliards de dollars en monnaies numériques, dont 455 millions de dollars qui auraient été volés en 2022 par le groupe Lazarus, une entité notoire liée au gouvernement nord-coréen.

Par la suite, le domaine du projet a été saisi et GitHub a supprimé le référentiel Tornado Cash tout en suspendant les comptes des développeurs, provoquant un tollé de la part des défenseurs de la vie privée. La plate-forme appartenant à Microsoft a ensuite annulé l'interdiction du mélangeur de pièces et des contributeurs.

En mai dernier, un attaquant a utilisé une proposition trompeuse pour prendre le contrôle de l'organisation autonome décentralisée (DAO) de Tornado Cash. La proposition contenait un code caché qui accordait au pirate informatique la propriété de jetons de vote frauduleux après approbation du DAO.

Après un vote réussi, le pirate informatique a accumulé suffisamment de pouvoir de vote pour manipuler les propositions futures. À la fin du mois, le pirate informatique avait apparemment abandonné le contrôle, ayant converti une partie des jetons de gouvernance volés, d'une valeur d'environ 900 000 dollars, en Ether, qui ont ensuite été blanchis via le service Tornado Cash.

Pour compliquer encore les choses, deux autres développeurs de Tornado, Roman Storm et Roman Semenov, ont fait face à des accusations liées à leur implication présumée dans la facilitation du blanchiment d'argent, pour un montant total de 1 milliard de dollars. Roman Storm a ensuite été appréhendé dans l'État de Washington et a plaidé « non coupable » des accusations portées contre lui.

OFFRE SPÉCIALE (Sponsorisée)