O desenvolvedor do mixer de criptomoedas Tornado Cash, conhecido como “Gas404”, fez um alerta a respeito da segurança dos usuários. De acordo com o desenvolvedor, há um risco de comprometimento de vários depósitos feitos no mixer a partir de 1º de janeiro de 2024.
Gas404 alertou especificamente para depósitos realizados usando gateways IPFS através de gateways IPFS. Ou seja, por meio de links como ipfs.io, cf-ipfs.com e eth.link. O desenvolvedor alertou que a falha pode comprometer a segurança das carteiras e das criptomoedas dos usuários.
Em seguida, ele alertou que os usuários afetados tomem medidas imediatas para proteger seus depósitos. Mas disse que quem realizou transações por outros gateways não corre nenhum risco a princípio.
Depósitos sob risco
De acordo com uma publicação em seu blog, Gas404 afirmou que a comunidade do Tornado Cash foi quem descobriu a vulnerabilidade. Nesse sentido, os usuários alertaram sobre a presença de um código malicioso feito em JavaScript, escondido no mixer.
O mais impressionante, no entanto, é que este código estava escondido em uma proposta de governança apresentada por um suposto desenvolvedor do Tornado Cash conhecido como Butterfly Effects. Ele supostamente incluiu o código suspeito e, com isso, passou a registrar todas as transações feitas a partir de 1 de janeiro.
Notavelmente, o risco parece estar limitado às implantações IPFS do Tornado Cash, isto é, em um software externo. Gas404 alertou que se o falso desenvolvedor tivesse alterado o código-fonte, as auditorias teriam descoberto a falha. Além disso, uma alteração profunda como essa poderia comprometer seriamente o mixer.
Para mitigar possíveis danos, é preciso que a comunidade rejeite as duas propostas falsas que possuem o código. Por isso, Gas404 recomendou que os detentores do token nativo do Tornado Cash, TORN, rejeitem essas propostas.
“Isso contaria apenas para as implantações IPFS do Tornado Cash, uma vez que a fonte minificada se tornou uma armadilha oculta para um golpista. Portanto, as pessoas que interagiram com o contrato usando interfaces locais estão seguras, uma vez que as alterações nos commits poderiam ser facilmente auditadas”, explicou o desenvolvedor.
A queda do Tornado Cash
Tornado Cash é um dos mixers de criptomoedas mais populares do mundo. Em agosto de 2022, o Gabinete de Controlo de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou o Tornado Cash, proibindo indivíduos, residentes e entidades nos Estados Unidos de se envolverem em transações financeiras através da plataforma.
O Departamento do Tesouro alegou que o mixer facilitou a lavagem de mais de US$ 7 bilhões em criptomoedas, incluindo US$ 455 milhões supostamente ligados ao Lazarus, grupo de hackers apoiado pelo governo da Coreia do Norte.
Posteriormente, o domínio do projeto foi apreendido e o GitHub removeu o repositório “Tornado Cash” e também suspendeu as contas dos desenvolvedores, gerando protestos dos defensores da privacidade. A plataforma de propriedade da Microsoft posteriormente cancelou o banimento.
Em maio passado, um invasor criou uma proposta enganosa para tomar o controle da Organização Autônoma Descentralizada (DAO) que faz a gestão do Tornado Cash. A proposta continha um código oculto que concedia ao hacker a propriedade de falsos tokens TORN mediante aprovação do DAO.
Após uma votação bem-sucedida, o hacker acumulou poder de voto suficiente para manipular propostas futuras. No final do mês, o hacker aparentemente abandonou o controle, tendo convertido uma parte dos tokens de governança roubados avaliados em aproximadamente US$ 900.000 em Ether (ETH).