Alors que le protocole Tornado Cash est déjà dans le collimateur de la justice américaine, l’organisation autonome décentralisée (DAO) de ce protocole vient de récemment faire les frais d’un piratage informatique. Une personne mal intentionnée vient en effet de prendre le contrôle de l’organisation autonome décentralisée (DAO) du protocole.
Une fraude qui donne tous les droits au pirate informatique !
La DAO de Tornado Cash a officiellement cessé d’exister le 20 mai à 7h25 du matin. En raison d’une proposition malveillante qui a malheureusement été validée par la communauté, un attaquant s’est ainsi octroyé 1.2 million de votes. Ce nombre étant donc sensiblement supérieur aux 700 000 votes légitimes, le pirate dispose désormais d’un contrôle total sur la DAO de Tornado Cash.
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— samczsun (@samczsun) May 20, 2023
La proposition malveillante, qui était en tout point similaire à la version antérieure, a été proposée à la communauté en début de semaine. Le pirate informatique a simplement caché une fonction malveillante dans le code informatique qui lui permet désormais de contrôler totalement l’organisation autonome décentralisée.
Le pirate informatique peut désormais utiliser ses droits de vote pour accéder à la trésorerie de l’organisation en retirant l’ensemble des droits de vote bloqués dans la DAO.
Aucun impact sur les utilisateurs du protocole de Tornado Cash :
L’attaque informatique n’a cependant pas d’impact sur le protocole de Tornado Cash, qui fonctionne sur le réseau Ethereum et qui est actuellement utilisé par des utilisateurs pour faire transiter des fonds par le service afin de masquer les mouvements de fonds et les adresses cryptographiques destinataires. Le pirate n’a pas accès aux technologies liées au protocole de Tornado Cash.
“Maintenant qu’ils ont tous les votes, ils peuvent faire ce qu’ils veulent”, a tweeté dimanche le chercheur en sécurité @samczsun. Il a également ajouté que les pirates en ont déjà profité pour “vendre une partie des tokens TORN”.
Now that they have all the votes, they can do whatever they want. In this case, they simply withdrew 10,000 votes as TORN and sold it allhttps://t.co/XxYezHusK6 pic.twitter.com/qOefI65SLk
— samczsun (@samczsun) May 20, 2023
La communauté s’active pour annuler les droits de vote du pirate
L’avenir de la DAO de Tornado Cash semble désormais largement compromis. Cela devrait très certainement inciter les utilisateurs du protocole à migrer vers des alternatives. Certains membres de la communauté ont par exemple proposé de créer un nouveau contrat et de distribuer de nouveaux tokens aux détenteurs.
Le token TORN est en chute libre sur les marchés cryptos :
Les actions malveillantes du pirate informatique ont eu un impact dramatique pour les détenteurs du token TORN. La communauté financière a bien sûr sanctionné le token et le prix du token de Tornado Cash (TORN) est en chute libre sur les marchés des crypto-monnaies et il se négocie à un cours actuel de 4.65 $, en baisse de 25.56% sur les sept derniers jours, ce qui porte ainsi la capitalisation totale de Tornado Cash à environ 5 millions de dollars (avec un volume d’échange très soutenu de 18.80 millions de dollars).
On ignore encore à ce stade l’identité du pirate informatique, mais quoi qu’il en soit cette nouvelle affaire montre bien à quel point il est essentiel de contrôler l’ensemble du code informatique avant d’approuver une nouvelle proposition soumise au vote de la communauté.
Source : Coinmarketcap (graphique) – Twitter
Sur le même sujet :
- Tornado Cash : le développeur Alexey Pertsev va enfin être libéré
- Privacy pools : la succession de Tornado Cash pensée par ses développeurs
- Tornado Cash: retour du débat sur la protection de la vie privée