Tornado Cash DAO, Railgun adresine bağlı 23 milyon dolarlık yönetişim saldırısıyla karşı karşıya

Tornado Cash DAO'ya 25 Haziran'da sunulan bir yönetişim teklifi, araştırmacılara göre 23 milyon dolar değerindeki TORN token'larını boşaltabilecek ve protokolün gizlilik altyapısını çökertme potansiyeli taşıyan doğrulanmamış kod içeriyor.

Araştırmacılar, Tornado Cash DAO'ya 25 Haziran'da sunulan şüpheli bir yönetişim teklifinin, 23 milyon dolar değerindeki TORN token'larının kontrolünü ele geçirmekle tehdit ettiği konusunda uyarıda bulundu.

L2BEAT araştırmacıları kamuya açık bir uyarıda, "Teklifin hedef sözleşmesi doğrulanmamış durumda. Bu, Tornado Cash DAO teklifleri için oldukça sıradışı ve teklifin kötü niyetli olarak ele alınması gerektiğine dair açık bir işaret" ifadelerini kullandı.

Zincir üstü kayıtlara göre, teklifin yazarı, sunumdan dört gün önce rakip bir gizlilik protokolü olan Railgun üzerinden finansman almıştı. Güvenlik Birliği araştırmacısı Pascal Caversaccio daha da ileri giderek, teklifi, DAO'nun 23 milyon dolar değerinde TORN tutan yönetişim adresini, ilk 15 karakteri aynı olan sahte bir benzeriyle değiştirmek üzere tasarlanmış bir "yönetişim saldırısı" olarak nitelendirdi. İkinci bir sözleşme değişikliği ise saldırganın ağ genelindeki relayer bakiyelerini sıfırlamasına olanak tanıyarak gizlilik aracının temel işlevselliğini fiilen bozacak.

Teklifin kabul edilmesi halinde, saldırgan DAO üzerinde çoğunluk oy hakkı elde edecek. Bu, 2023 yılında kötü niyetli bir teklifin yaklaşık 800.000 dolar değerinde TORN token'ını ele geçirdiği ve saldırganın gelirleri Tornado Cash'in kendisi aracılığıyla akladığı senaryonun tekrarı anlamına geliyor. TORN sahipleri ikili bir seçimle karşı karşıya: teklifi reddetmek ya da hem hazine fonlarını hem de protokolün operasyonel bütünlüğünü riske atmak.

Saldırı, DAO'nun yönetişim katmanını hedef alıyor, karıştırma havuzlarını değil. Bu nedenle, gizlilik protokolündeki kullanıcı fonları şimdilik güvende. Ancak risk altındaki yönetişim adresi, DAO'nun karar alma yetkisini ve hazinesini kontrol ediyor — ele geçirilmesi halinde gelecekteki oylamaları yönlendirebilecek ve fonları taşıyabilecek tek bir hata noktası.

Teklifi ilk olarak X platformunda gündeme getiren ZK araştırmacısı Sergey Shemyakov, teklifin mantığını "oldukça karmaşık" olarak tanımladı ve topluluğu oylamadan önce kodu incelemeye çağırdı. Teklif, "dinamik bir deflasyonist ekonomik model" ve yeni bir ücret yapısı getirdiğini iddia ediyor — Caversaccio'nın adres değiştirme istismarını gizlemek için bir örtü olduğunu söylediği ifadeler.

Railgun bağlantısı şüpheleri daha da artırdı. Railgun ve Tornado Cash, kripto gizlilik sektöründe rakipler. Bununla birlikte, Railgun'un kendisinin dahil olup olmadığı veya teklif sahibinin sadece finansman izini gizlemek için protokolü kullanıp kullanmadığı henüz netlik kazanmış değil. Hiçbir taraf herhangi bir şekilde dahil olduğunu doğrulamadı.

2023 emsali

Bu, Tornado Cash yönetişiminin hedef alındığı ilk olay değil. 2023 yılında bir saldırgan, çoğunluk oy hakkı sağlayan kötü niyetli bir teklifi kabul ettirmiş, yaklaşık 800.000 dolar değerinde TORN'u ETH karşılığında satmış ve elde ettiği gelirleri Tornado Cash'in kendisi aracılığıyla aklamıştı. Ertesi yıl, platformun IPFS ön yüz arayüzlerine enjekte edilen kötü niyetli JavaScript, hassas para yatırma verilerini saldırgan tarafından kontrol edilen bir sunucuya sızdırmıştı.

Hukuki gölge

Yönetişim draması, Tornado Cash geliştiricisi Roman Storm'a karşı devam eden çözümlenmemiş bir davayla eş zamanlı olarak yaşanıyor. Storm, lisanssız bir para transfer işletmesi işletmek için komplo kurmak suçlamasıyla yargılanıyor. Nisan ayında yapılan beraat talebi henüz sonuçlanmamış olup, savcılar kilit kalan iki suçlamayı yeniden yargılamak istiyor. Hukuki belirsizlik, yönetişim riskini daha da artırarak topluluğun teknik düzeltmelere odaklanmasını zorlaştırıyor.

Caversaccio'nun TORN sahiplerine mesajı açık: hayır oyu verin. Yeterli sayıda token sahibinin dikkat edip etmediği ve DAO'nun yönetişim yapısının bir başka saldırıya dayanıp dayanamayacağı, protokolün yakın geleceğini belirleyecek.

Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.