O desenvolvedor do mixer de criptomoedas Tornado Cash, conhecido como “Gas404”, fez um alerta a respeito da segurança dos usuários. De acordo com o desenvolvedor, há um risco de comprometimento de vários depósitos feitos no mixer a partir de 1º de janeiro de 2024.
Gas404 alertou especificamente para depósitos realizados usando gateways IPFS através de gateways IPFS. Ou seja, por meio de links como ipfs.io, cf-ipfs.com e eth.link. O desenvolvedor alertou que a falha pode comprometer a segurança das carteiras e das criptomoedas dos usuários.
Em seguida, ele alertou que os usuários afetados tomem medidas imediatas para proteger seus depósitos. Mas disse que quem realizou transações por outros gateways não corre nenhum risco a princípio.
Depósitos sob risco
De acordo com uma publicação em seu blog, Gas404 afirmou que a comunidade do Tornado Cash foi quem descobriu a vulnerabilidade. Nesse sentido, os usuários alertaram sobre a presença de um código malicioso feito em JavaScript, escondido no mixer.
O mais impressionante, no entanto, é que este código estava escondido em uma proposta de governança apresentada por um suposto desenvolvedor do Tornado Cash conhecido como Butterfly Effects. Ele supostamente incluiu o código suspeito e, com isso, passou a registrar todas as transações feitas a partir de 1 de janeiro.
Notavelmente, o risco parece estar limitado às implantações IPFS do Tornado Cash, isto é, em um software externo. Gas404 alertou que se o falso desenvolvedor tivesse alterado o código-fonte, as auditorias teriam descoberto a falha. Além disso, uma alteração profunda como essa poderia comprometer seriamente o mixer.
Para mitigar possíveis danos, é preciso que a comunidade rejeite as duas propostas falsas que possuem o código. Por isso, Gas404 recomendou que os detentores do token nativo do Tornado Cash, TORN, rejeitem essas propostas.
“Isso contaria apenas para as implantações IPFS do Tornado Cash, uma vez que a fonte minificada se tornou uma armadilha oculta para um golpista. Portanto, as pessoas que interagiram com o contrato usando interfaces locais estão seguras, uma vez que as alterações nos commits poderiam ser facilmente auditadas”, explicou o desenvolvedor.
A queda do Tornado Cash
Tornado Cash é um dos mixers de criptomoedas mais populares do mundo. Em agosto de 2022, o Gabinete de Controlo de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou o Tornado Cash, proibindo indivíduos, residentes e entidades nos Estados Unidos de se envolverem em transações financeiras através da plataforma.
O Departamento do Tesouro alegou que o mixer facilitou a lavagem de mais de US$ 7 bilhões em criptomoedas, incluindo US$ 455 milhões supostamente ligados ao Lazarus, grupo de hackers apoiado pelo governo da Coreia do Norte.
Posteriormente, o domínio do projeto foi apreendido e o GitHub removeu o repositório “Tornado Cash” e também suspendeu as contas dos desenvolvedores, gerando protestos dos defensores da privacidade. A plataforma de propriedade da Microsoft posteriormente cancelou o banimento.
Em maio passado, um invasor criou uma proposta enganosa para tomar o controle da Organização Autônoma Descentralizada (DAO) que faz a gestão do Tornado Cash. A proposta continha um código oculto que concedia ao hacker a propriedade de falsos tokens TORN mediante aprovação do DAO.
Após uma votação bem-sucedida, o hacker acumulou poder de voto suficiente para manipular propostas futuras. No final do mês, o hacker aparentemente abandonou o controle, tendo convertido uma parte dos tokens de governança roubados avaliados em aproximadamente US$ 900.000 em Ether (ETH).
Posts relacionados
Worldcoin assume que é possível falsificar íris nos dados do projeto
Nos últimos anos, o uso da íris humana como um atributo para verificar a identidade tem sido comum, porém, uma descoberta preocupante abalou o projeto de criptomoedas Worldcoin....
Bitfinex impede o que seria o maior roubo da história
A exchange de criptomoedas Bitfinex frustrou com sucesso uma tentativa de um invasor de explorar cerca de US$ 15 bilhões em XRP. Caso o ataque tivesse sucesso, seria o maior r...
Brasileiro quebra chave privada de carteira e recebe R$ 60 mil em Bitcoin
Imagine receber uma doação em Bitcoin (BTC), mas não conseguir acessá-la porque a chave privada da carteira está perdida para sempre. Foi esse o desafio que o cientista da compu...
Hackers usam BNB Chain para armazenar malware
A empresa de cibersegurança Guardio Labs emitiu um alerta sobre uma nova ameaça que está se espalhando pela internet. Trata-se de um software malicioso, apelidado de “Ethe...
Ledger anuncia planos de reparação de falha em aplicativos
A fabricante de carteiras Ledger anunciou planos de reparação após um ataque à biblioteca de aplicações descentralizadas (dApps) causar perdas entre os usuários. De acordo com...
Aliança: 40 países firmam acordo para não pagar Bitcoin como resgate em ataques hacker
Um importante marco na luta contra os ataques de ransomware foi alcançado com o compromisso de cerca de 40 países, liderados pelos Estados Unidos, de não pagar resgates em Bitco...
Ataques ao Bitcoin e Ethereum agora são ‘economicamente inviáveis’, diz pesquisa
Um novo estudo publicado no dia 15 de fevereiro pela empresa de análise on-chain CoinMetrics revelou que os atuais modelos de segurança do Bitcoin (BTC) e do Ethereum (ETH) torn...
Binance e Ledger alertam sobre exploração no iOS que rouba criptomoedas
Executivos da Binance e da Ledger estão alertando os usuários de criptomoedas para uma nova exploração com potencial para roubar ativos digitais de dispositivos com sistema oper...
Plataforma de cripto alerta para possíveis ataques de phishing após vazamento de dados
A plataforma de análise de cripto Nansen revelou nesta sexta-feira (22) que...