Tornado Cash DAO Saldırganlar Tarafından Ele Geçirildi

Mahremiyeti önceleyen kripto karıştırma hizmet sağlayıcısı Tornado Cash’in operasyonlarını, fonlarını ve geleceğe dair planlarını idare eden DAO’su kimliği belirlenemeyen bir veya bir grup saldırgan tarafından ele geçirildi.

Merkeziyetsiz otonom organizasyonlar, yani kısaca DAO’lar token sahiplerinin ellerinde bulundurdukları varlıklar üzerinden bir projenin gidişatına dair belirleyici kararlara katılmalarına imkân veren yapılar. Bu kararlar arasında yapının hazinesindeki kaynakların nerelere aktarılacağından projenin hangi ağlara doğru genişlemesi gerektiğine dair birçok önemli karar yer alabiliyor. 

Saldırgan, hafta sonunun ilk saatlerinde içerisinde zararlı bir yazılım içeren bir teklifi ortaya koyarak Tornado Cash’in bazı özelliklerini ele geçirmesine imkân veren bir sahte oylama gerçekleştirdi. Saldırgana yönetişim sözleşmesindeki torn token’larını (TORN) gibi önemli özellikleri kontrol edebilir hale geldi.

Saldırgan bunu yapabilmek için bir önceki teklifin aynısı gibi görülen ancak saldırgana tüm yönetişim token’larına erişim hakkı verecek bir zararlı kod içeren bir kurgudan yararlandı.

Güvenlik araştırmacısı @samczsun Pazar günü attığı tweette, “Tüm oyları elde ettikleri için istediklerini yapabilirler. 10.000 TRON çekmişler ve satmışlar” diyordu.

Bu saldırı Tornado Cash protokolünü etkilemiyor. Söz konusu protokol kullanıcıların fonlarının adreslerinin ve hareketlerinin izlenemez hale getirilmesine yarıyor. Bu saldırı Tornado Cash’in teknolojisiyle veya akıllı sözleşmesiyle ilgili bir saldırı değil.

BU arada Tornado Cash topluluğu kodda yapılan değişiklikleri geri alacak teklifler ortaya koyuyor.  Topluluktan bir kullanıcı saldırganın 1 milyondan fazla tropn mint ettiğini belirledi ki bunun değeri 4 milyon dolar civarında.

Bazı kullanıcılarsa yeni bir sözleşme yapıp yeni token’ları airdrop yapmayı teklif ediyorlar.

Torn’un değeri saldırı sonrası düşmeyi sürdürüyor.