Tornado Cash aurait subi un exploit backend et les dépôts des utilisateurs seraient menacés
L’exploit a pour fonction de voler les données de dépôt et les fonds déposés.
- Les dépôts Tornado Cash et les données de dépôt seraient menacés.
- Une proposition a été faite pour revenir à une version précédente du déploiement IPFS du protocole.
Les dépôts des utilisateurs sur le mélangeur de jetons Tornado Cash seraient menacés suite à l'insertion de code malveillant dans le back-end du protocole, selon un message Medium du membre de la communauté Gas404.
Le message explique qu'un code javascript malveillant a été caché dans une proposition de gouvernance vieille de deux mois soumise par un développeur présumé de Tornado Cash le 1er janvier. Le code redirige les données de dépôt vers un serveur public hébergé par le développeur présumé.
La fonction de l'exploit est de divulguer les données de dépôt Tornado Cash et il existe également une fonction permettant de voler un dépôt lui-même. Selon Gas404, un dépôt a été volé sur ce lot vu sur Etherscan .
Le volume des échanges de Tornado Cash a chuté de plus de 90 % après que l'Office of Foreign Asset Control (OFAC) du Département du Trésor américain a sanctionné Tornado Cash en août 2022.
Gas404 a proposé que Tornado Cash revienne à un précédent déploiement IPFS ContextHash utilisé dans une version précédente de TornadoCash.