Việc chiếm toàn quyền kiểm soát quản trị của Tornado Cash đã cho phép kẻ tấn công rút tất cả các phiếu bị khóa, các mã thông báo trong hợp đồng quản trị và tác động đến bộ định tuyến.
Vào ngày 20/5 lúc 3:25 ET, kẻ tấn công đã cấp thành công 1.2 triệu phiếu bầu cho một đề xuất ác ý. Cho rằng đề xuất đã nhận được hơn 700,000 phiếu bầu hợp pháp, kẻ tấn công đã giành được toàn quyền kiểm soát quản trị Tornado Cash.
Thông tin được chia sẻ bởi @samczsun của Paradigm, người đã tiết lộ rằng khi chia sẻ đề xuất độc hại, kẻ tấn công đã tuyên bố rằng nó sử dụng logic tương tự như đề xuất đã được cộng đồng thông qua trước đó. Tuy nhiên, lần này, đề xuất có một chức năng bổ sung.
“Sau khi đề xuất được các cử tri thông qua, kẻ tấn công chỉ cần sử dụng chức năng EmergencyStop để cập nhật logic đề xuất nhằm tự cấp cho mình các phiếu bầu giả. Toàn quyền kiểm soát quản trị Tornado Cash cho phép kẻ tấn công rút tất cả các phiếu bị khóa, rút tất cả các mã thông báo trong hợp đồng quản trị và thay đổi bộ định tuyến. @samczsun cho biết tại thời điểm viết bài, kẻ tấn công “chỉ cần rút 10,000 phiếu bầu dưới dạng TORN và bán tất cả chúng”.
Cuộc tấn công diễn ra như một lời nhắc nhở các nhà đầu tư tiền điện tử kiểm tra logic và mô tả đề xuất. Một cộng đồng tích cực của Tornado Cash, người có tên là Tornadosaurus-Hex hoặc Mr. Tornadosaurus Hex, đã xác nhận rằng tất cả các khoản tiền trong Governance đều có khả năng bị xâm phạm và yêu cầu tất cả các thành viên rút tất cả các khoản tiền bị khóa trong quản trị.
Như đã trình bày ở trên, họ cũng đã cố gắng triển khai một hợp đồng có khả năng hoàn nguyên các thay đổi trong khi vẫn đề nghị cộng đồng rút tiền của họ. Nhóm hiện đang tìm kiếm các nhà phát triển Solidity có thể giúp cứu giao thức khỏi bị sụp đổ. Họ cũng tuyên bố rằng cần liên hệ với Binance vì sàn giao dịch này có nhiều mã thông báo hơn kẻ tấn công.
Một nhà phát triển Tornado Cash trước đây được cho là đang làm việc để xây dựng một dịch vụ trộn tiền điện tử mới từ đầu, nhằm giải quyết “lỗ hổng nghiêm trọng” hiện có trong Tornado Cash. Nhà phát triển hy vọng giải pháp này sẽ trao quyền cho “cộng đồng bảo vệ chống lại tin tặc lạm dụng quyền ẩn danh của người dùng trung thực mà không yêu cầu quy định chung chung hoặc hy sinh lý tưởng về tiền điện tử.”
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
