GetBlock Magazine - Что произошло? Основатель аудиторской блокчейн-компании SlowMist Юй Сян сообщил об эксплойте интерфейса криптомикшера Tornado Cash, включенного в санкционный список США. Так, по данным анонимных блокчейн-разработчиков, на которых ссылается Сян, в IPFS-версии фронтенда сервиса в течение двух месяцев функционирует бэкдор, способный перехватывать депозитные сертификаты.
Источник: Twitter (NYSE:TWTR).com
Что еще известно? По словам Сяна, вредоносный механизм был внедрен с помощью голосований в результате атаки на механизм управления децентрализованной автономной организации (DAO) Tornado Cash. Под угрозой находятся средства пользователей, которые вносили депозиты в микшер с использованием IPFS за последние два месяца.
По данным сообщества, вредоносный код скрыто был внедрен в предложение по управлению, внесенное два месяца назад разработчиком под ником Butterfly Effects, и с 1 января депозитные записи Tornado Cash утекали на частный вредоносный сервер под его контролем. Был выявлен как минимум один случай кражи депозита пользователя микшера в монетах ETH.
Ранее Агентство кибербезопасности Сингапура обнаружило уязвимость в криптовалютном виджете WordPress «Cryptocurrency Widgets – Price Ticker & Coins List Plugin» версий 2.0-2.6.5, которая может привести к утечке конфиденциальной информации. Злоумышленники могут добавлять SQL-запросы для ее извлечения из базы данных.
В конце прошлого года производитель аппаратных криптокошельков Ledger сообщил, что пользователи потеряли $600 000 из-за уязвимости механизма слепой подписи. Компания обязалась возместить убытки и заменить механизм взаимодействия с DApps на полностью прозрачный к июню 2024 года.