Sicherheitsbedenken bei Tornado Cash aufgrund von schädlichem Code

Sicherheitswarnung

Benutzereinlagen beim Kryptowährungsmixer Tornado Cash könnten aufgrund von heimtückischem Code kompromittiert sein, schlägt ein Medium-Artikel von Gas404 vor. Das Community-Mitglied enthüllt, dass ein Schnipsel bösartigen JavaScripts als Teil eines älteren Governance-Vorschlags heimlich eingefügt wurde, der angeblich von einem Tornado-Cash-Entwickler verfasst wurde.

Analyse des Exploits

Der eingefügte Code wurde so entworfen, dass er Einzahlungsinformationen an einen externen Server umleitet, der angeblich unter der Kontrolle des besagten Entwicklers steht. Diese Schwachstelle ist nicht nur ein Datenschutzproblem, sondern führt auch zum direkten Diebstahl von Einlagen, wobei ein bestätigter Diebstahl über einen Etherscan-Transaktionsrecord gemeldet wurde.

Vorgeschlagene Lösung

Im Zuge dieses Bruchs spricht sich Gas404 für ein Rollback des Tornado-Cash-Protokolls zu einem früheren Einsatz aus, um weitere Ausnutzungen zu verhindern. Diese Empfehlung folgt auf den Sturz des Handelsvolumens von Tornado Cash infolge der Sanktionen, die im August 2022 vom US-Finanzministerium verhängt wurden.