اكتشف باحثون في منصة L2BEAT اقتراحًا مريبًا للحوكمة تم تقديمه إلى منظمة Tornado Cash اللامركزية (DAO).
أثار هذا الاقتراح الشكوك لأنه يشير إلى عقد غير موثَّق، وهو أمر “غير معتاد جدًا في مقترحات Tornado Cash DAO… ويُعد مؤشرًا واضحًا على أن الاقتراح يجب التعامل معه كخبيث”.
وزاد من الشكوك أن عنوان مقدم الاقتراح تم تمويله من بروتوكول Railgun (وهو بروتوكول خصوصية منافس) قبل أربعة أيام فقط.
سيرجي شيمياكوف، باحث في تقنيات ZK، دعا عبر منصة إكس الآخرين لفحص الاقتراح الذي “يظهر منطقًا معقدًا ومربكًا”.
يزعم الاقتراح تحديد هيكل رسوم جديد و”إنشاء نموذج اقتصادي انكماشي ديناميكي جديد بالكامل”.
ومع ذلك، زعم باسكال كافيرساتشيو، باحث في تحالف الأمن، أن النوايا وراء الاقتراح “خبيثة”، مشيرًا إلى أن الهدف الحقيقي هو تبديل العناوين الرئيسية بعناوين مزيفة تشبهها.
عنوان حوكمة DAO الحالي، الذي يحوي 23 مليون دولار من رموز TORN، سيتم استبداله بعنوان يتحكم به المهاجم ويشاركه أول 15 حرفًا.
سيتم إجراء تبديل مماثل على عقد وكيل حوكمة التجميد (Staking Governance Proxy).
وأشار كافيرساتشيو أيضًا إلى أن عنوان الحوكمة المزيف سيكون قادرًا على “تصفير رصيد أي مرسل (Relayer) في أي وقت”. ووصف الاقتراح بأنه “هجوم حوكمة على Tornado Cash” وحث حاملي TORN على رفضه.
تاريخ طويل من المشاكل
هجوم الحوكمة هذا هو الأحدث في سلسلة طويلة من مشاكل الحوكمة والقانون والأمن التي تواجهها Tornado Cash.
- في عام 2023، واجهت Tornado Cash هجوم حوكمة سابق حيث تم تمرير اقتراح خبيث منح المهاجم أغلبية الأصوات.
- بعد بيع حوالي 800,000 دولار من رموز TORN مقابل ETH، أنشأ المهاجم اقتراحًا جديدًا لإعادة قوة تصويته إلى الصفر، لكن بعد غسل الأموال عبر Tornado Cash نفسها.
- في العام التالي، تم حقن واجهات Tornado Cash الأمامية على IPFS بكود جافا سكريبت خبيث لتسريب معلومات الإيداع الحساسة إلى خادم يتحكم به المهاجم، حتى أن أحد القراصنة وقع ضحية للفخ.
- على الصعيد القانوني، فرضت وزارة الخزانة الأمريكية عقوبات على Tornado Cash في عام 2022، لكن القرار تم إلغاؤه في العام الماضي.
- على الرغم من رفع العقوبات، تمت محاكمة مطور Tornado Cash رومان ستورم بتهمة التآمر لإدارة أعمال تحويل أموال غير مرخصة العام الماضي.
- مستقبل ستورم لا يزال غامضًا؛ حيث لم يتم البت في طلب البراءة في أبريل، والمدعون حريصون على إعادة محاكمة التهمتين اللتين لم يتوصل المحلفون لقرار بشأنهما.
أسئلة شائعة
س: ما هو الهدف الحقيقي من الاقتراح الخبيث الذي تم اكتشافه في Tornado Cash؟
ج: الهدف الحقيقي هو استبدال عنوان حوكمة DAO الحالي الذي يحوي 23 مليون دولار من رموز TORN بعنوان مزيف يشبهه، مما يسمح للمهاجم بالتحكم الكامل في الأموال وقدرته على تصفير أرصدة المرسلين.
س: هل هذه هي المرة الأولى التي تتعرض فيها Tornado Cash لهجوم حوكمة؟
ج: لا، فقد تعرضت المنصة لهجوم حوكمة مماثل في عام 2023، حيث تمكن مهاجم من تمرير اقتراح خبيث وحصل على أغلبية الأصوات قبل بيع رموز بقيمة 800,000 دولار.
س: ما هي الإجراءات التي يجب على حاملي رمز TORN اتخاذها الآن؟
ج: يجب على حاملي TORN رفض هذا الاقتراح الخبيث والتصويت ضده لحماية أموال المنظمة من السيطرة الخبيثة، وفقًا لتوصيات باحثي الأمن السيبراني.
