Un avviso riguardo ai possibili rischi è stato emanato dai creatori di Tornado Cash per gli investitori crypto che hanno eseguito depositi tramite i gateway di IPFS nel periodo compreso tra il 1° gennaio e il 24 febbraio.
Plus précisément, les développeurs soupçonnent qu’une personne malveillante aurait pu exposer les dépôts de Tornado Cash pendant cette période, les redirigeant vers un serveur sous leur contrôle.
Voici tous les détails ci-dessous.
Summary
Risques pour les fonds déposés dans la nouvelle année : l’avertissement crypto de Tornado Cash
Come anticipato, gli sviluppatori di Tornado Cash, un mixer crypto basato su smart contract, hanno emesso un avviso di possibile truffa per gli utenti che hanno eseguito depositi attraverso i gateway della società di servizi finanziari IPFS a partire dal 1° gennaio.
Les développeurs ont déclaré que les informations de dépôt de ces utilisateurs pourraient avoir été exposées à un « code JavaScript malveillant ».
On soupçonne qu’un attaquant ait divulgué les dépôts de Tornado Cash pendant cette période sur un serveur sous leur contrôle.
Dans un post sur Medium, qui confirme la présence du code, les développeurs ont révélé qu’il avait été caché par la proposition de gouvernance présentée par Butterfly Effects, un développeur de la communauté de Tornado Cash.
Cependant, les développeurs précisent que la fuite de dépôts semblait concerner uniquement les distributions IPFS de Tornado Cash.
Pour ceux qui ont interagi avec le contrat en utilisant des interfaces locales, la situation est déclarée sûre, car les modifications apportées aux engagements peuvent être « facilement vérifiées », selon le post sur Medium.
Pendant ce temps, les développeurs ont décrit comment l’exploiteur a utilisé le code pour détourner des fonds d’au moins un déposant :
« La fonction ci-dessus code les notes de dépôt privées de manière à ce qu’elles soient affichées comme des données d’appel et cache la fonction window.fetch pour éviter d’être détectée comme une fonction divulguant des informations sur le dépôt à un serveur personnel de l’exploiteur. »
Pour prévenir de futures attaques similaires, les développeurs ont conseillé aux déposants d’utiliser une distribution de hachage contextuel IPFS recommandée et précédemment utilisée.
De plus, ils ont invité les détenteurs de jetons TORN à s’opposer à toute proposition également utilisée par l’exploiteur.
GoFundMe suspend la collecte de fonds pour la défense légale de Tornado Cash
La plateforme de financement participatif américaine GoFundMe a récemment interrompu la campagne de collecte de fonds pour la défense légale de Roman Storm et Alexey Pertsev, co-fondateur et développeur de Tornado Cash.
La décision a été prise le 14 février, citant une violation des termes de service et une exposition possible à des dommages ou à une responsabilité.
La collecte de fonds, lancée après un appel de Storm pour un soutien financier contre les accusations de faciliter l’évasion des sanctions à travers leur service, avait déjà recueilli $30,000 sur un objectif de $1.5 million.
Ryan Adams de Bankless Ventures, l’un des contributeurs, a annoncé son intention de rediriger son don de 10 000 $ à Storm via cryptomonnaie.
Malgré la suspension sur GoFundMe, la campagne s’est poursuivie sur JuiceBox, une plateforme de financement de cryptomonnaie, accumulant 316,75 Ether.
Cela a soulevé des débats sur la cohérence des politiques de GoFundMe, étant donné que la plateforme a autorisé des campagnes similaires par le passé.
Storm et Pertsev font face à plusieurs accusations fédérales, y compris l’association de malfaiteurs pour le blanchiment d’argent, la violation des sanctions et la gestion d’une activité de transfert d’argent sans licence.
Même s’ils soutiennent leur innocence, Storm, libéré sous caution de 2 millions de dollars, est confiné dans des États spécifiques des États-Unis en attendant le procès.
L’informateur de la NSA Edward Snowden a exprimé son soutien à Storm, soulignant l’importance de la vie privée et d’une défense légale équitable sur les réseaux sociaux.
Cela a attiré davantage l’attention sur l’affaire, surtout à la lumière de l’implication de Tornado Cash dans le blanchiment de plus d’un demi-milliard de dollars en 2023, malgré les sanctions américaines de 2022.
Il mixer è stato collegato al gruppo Lazarus, affiliato alla Corea del Nord, e ha registrato una significativa riduzione del volume delle transazioni dopo le misure restrittive del 2023.
