Tempête sur Tornado Cash : le protocole victime d’une attaque de gouvernance
Une gouvernance mise à mal – Tornado Cash est un protocole d’anonymisation des transactions sur Ethereum. Pour ce faire, le protocole utilise un mécanisme appelé mixage. Celui-ci vise à mélanger les jetons de plusieurs utilisateurs pour briser les liens entre l’émetteur et le récepteur de fonds.
Le module de gouvernance de Tornado Cash assailli par un hacker
Le 20 mai, le protocole Tornado Cash a été la cible d’une attaque. En pratique, l’attaquant a pris pour cible de module de gouvernance du protocole dans le but de l’exploiter. Plus en détail, ce dernier a réussi à accorder 1,2 million de votes à une proposition malveillante. Avec plus de 700 000 votes légitimes en poche, l’attaquant a réussi à avoir un contrôle total sur la gouvernance de Tornado Cash.
Une fois n’est pas coutume, l’internaute @samczsun a tiré la sonnette d’alarme sur Twitter.
L’attaquant aurait prétendu que la proposition malveillante utilisait une logique similaire à une proposition qui avait précédemment été approuvée par la communauté. Cependant, cette fois, la proposition incluait une fonction malveillante supplémentaire.
« Une fois la proposition approuvée par les votants, l’attaquant a simplement utilisé la fonction emergencyStop pour mettre à jour la logique de la proposition et s’accorder les faux votes. »
Tweet de Samczsun
>> 10% de réduction sur vos frais de trading ? Inscrivez-vous sur Binance (lien commercial) <<
Les répercussions de l’attaque : les fonds de Tornado Cash bloqués ?
En premier lieu, l’attaque a permis à l’attaquant d’obtenir un contrôle total sur la gouvernance de Tornado Cash. De surcroît, elle lui a également donné la possibilité de retirer tous les votes bloqués, de vider tous les jetons du contrat de gouvernance et de rendre le routeur inutilisable.
Toujours selon samczsun, l’attaquant « a simplement retiré 10 000 votes sous forme de TORN et les a tous vendus ».
Par conséquent, tous les fonds déposés dans le module de gouvernance ont été potentiellement compromis. Naturellement, de nombreux internautes ont incité les utilisateurs à retirer tous les fonds bloqués en gouvernance.
Un appel à l’aide et la perspective d’une solution
Face à cette attaque, l’équipe de Tornado Cash est actuellement à la recherche de développeurs Solidity qui pourraient aider à sauver le protocole. De plus, elle a déclaré avoir besoin de prendre contact avec Binance, une bourse crypto qui détient plus de jetons que l’attaquant.
En parallèle, il semblerait que l’attaquant ait eu quelques remords. D’après le forum de gouvernance, ce dernier a publié une nouvelle proposition de gouvernance :
« L’attaquant a posté une nouvelle proposition pour restaurer l’état de gouvernance. Je pense qu’il y a de bonnes chances qu’il la mette à exécution. »
Cependant, les détails de cette proposition restent encore opaques, et il est difficile de savoir si Tornado Cash sera en mesure de redresser la barre.
En mars dernier, Tornado Cash avait dévoilé Privacy Pool v0, une nouvelle méthode de mixage. Celle-ci permet aux utilisateurs lambda de prouver qu’ils ne sont pas associés à des activités illicites.
Que vous soyez amateur de DeFi, de Bitcoin ou d’une des cryptomonnaies qui peuplent le marché, il est indispensable que vous disposiez d’un compte sur Binance, l’acteur majeur de l’écosystème du trading. Vous économiserez 10 % sur vos frais de trading en suivant ce lien (lien commercial).