混幣器協議 Tornado Cash 遭受治理攻擊,攻擊者利用去中心化自治組織(DAO)特性,惡意通過了一項提案,其內容顯示可以讓攻擊者獲得額外的虛假選票,來取得 DAO 的治理權。
中心化非託管混幣器 Tornado Cash
是一種建立在以太鏈的混幣器協議,其主要解決在加密貨幣當中的匿名以及隱私性,在當前的加密貨幣技術中,可以使用像是 Etherscan 鏈上數據網站來追蹤資產動向,而 Tornado Cash 就是要解決這類的問題,來避免使用者的資產可以被追蹤,而這類協議經常被非法交易的人作為洗錢工具。
攻擊者獲取大量虛假選票,接管 Tornado Cash DAO
在這次的事件當中,一個錢包地址成功接管了 Tornado Cash DAO,主要通過一項惡意提案,讓攻擊者從中獲取了 120 萬的虛假選票,遠超出 70 萬的合法選票,這使得攻擊者可以完全決定提案通過的是與否。
目前該攻擊者的錢包地址目前已經被 Etherscan 標註為惡意攻擊地址。
而具體的攻擊方式是攻擊者提出了一項提案,這項提案裡面卻隱藏了可以讓攻擊者獲取虛假選票的程式,使得持有選票的投資者在不知情的情況下通過了這項提案,而攻擊者的虛假選票包含了在智能合約裡的 TORN 代幣以及被提款所定的 TORN 代幣,約有 120 萬的虛假選票,其中盜走 48.3 萬枚 TORN 代幣兌換成 ETH,如下圖。
TRON 幣價暴跌,DAO 擔憂 Tornado Cash 未來存亡
受到此次的攻擊,TRON 幣價下跌了 40%,並且 DAO 擔憂攻擊者完全接管治理權,很有可能讓 Tornado Cash走向死亡之路,但這次的攻擊當中,並未影響到協議的運作,使用者依然可以使用 Tornaod Cash 來進行資金的轉移來掩蓋資金的轉移紀錄。
攻擊者表示會銷毀非法選票,歸還代理權
在近期攻擊者又提出一項法案,其內容表示會銷毀非法選票,並且歸還代理權,DAO 中許多人已經認為 Tornado Cash 已死亡,但 Tornado Cash 社群開發者 Hex 表示:『 對於此提案我們甚至沒有選擇餘地,但依然很重要 』,這很有可能是救回 Tornado Cash 的唯一方法。
這次事件仍然對整個區塊鏈社區發出了一個警告:即使在去中心化的世界中,仍然存在著不少的安全問題。針對當前加密貨幣產業的需要面對的問題,包含政府監管不確定性、交易所儲備問題、資訊安全等等都是當前加密貨幣產業需要解決的問題。
額外補充
去中化自治組織 DAO
全名為去中心化自治組織 (Decentralized Autonomous Organization)通過區塊鏈技術實現,主要基於智能合約運作,這使得 DAO 不需要中心化的管理,減少了人為干預的可能性。
DAO 的運作原理是由社區成員共同持有和管理組織。透過 DAO 成員可以投票來對組織的重大決策進行投票。這些決策可能包括了如何分配資源、組織的發展方向、實施的項目等。所有的投票和交易紀錄都會儲存在區塊鏈上,具有透明、不可篡改的特性。
但如果有一個地址持有大部分的投票,就很容易獲取主要投票權,其概念就很像傳統的公司股權,針對一項公司營運目標,持有股票的股東都可以進行投票。
如果喜歡看更多與區塊鏈技術、應用、科技新知相關的內容,記得留下您的Email並追蹤我們的粉專,那麼新文章上線時,我們將在第一時間通知您,不用再擔心錯過最新消息。
台灣區塊鏈教育權威機構 (企業內訓、個人進修、人才媒合、企業顧問、線上線下活動舉辦等)
亞洲區系統技術開發商 (網站建置、App開發、智能合約撰寫修飾、區塊鏈系統規劃建置、數位行銷經營等)
參考連結:
Tornado Cash DAO Attacker Starts to Move Ether, TORN Tokens
Attacker Takes Over Tornado Cash DAO With Vote Fraud, Token Slumps 40%
