악성 자바스크립트 코드가 Tornado Cash 거버넌스 제안에 숨겨져 있어, 거래 정보가 거의 두 달 동안 개인 서버로 유출되었습니다. 이로 인해 IPFS 배포를 통해 이루어진 모든 자금 거래의 개인 정보와 보안이 침해되었습니다. 이 악성 코드는 보안 연구원인 Gas404가 발견하고 보고하였으며, 이에 따라 악의적인 거버넌스 제안을 거부할 것을 촉구했습니다.
Tornado Cash는 이더리움 블록체인에서 개인 거래를 위한 비중앙화, 오픈 소스 믹서로, 사용자가 자금을 익명으로 입출금할 수 있도록 하는 SNARKs라는 암호학적 제로 지식 시스템을 사용합니다. 그러나 이 믹서는 불법적인 목적으로 사용되어 2022년에 미국에서 제재를 받았고, 프로젝트 창시자들은 2023년에 10억 달러 이상의 도난된 암호화폐를 세탁하는 데 도움을 준 혐의로 기소되었습니다.
Tornado Cash의 손상 사례에서는, 'Butterfly Effects'라는 커뮤니티 회원이 제출한 거버넌스 제안(번호 47)을 통해 악성 JS 코드가 도입되었고, 이로 인해 입금 노트가 공격자의 서버로 유출되도록 프로토콜이 수정되었습니다. Gas404는 이 악성 함수가 개인 입금 노트를 일반 블록체인 거래 호출 데이터처럼 보이게 인코딩하고, 'window.fetch' 함수의 사용을 숨겨서 악용 메커니즘을 더욱 숨기고 있다고 말했습니다.
Tornado Cash 개발자는 오래된 노출된 메모를 새로운 것으로 교체하고, 토큰 보유자에게 프로토콜 변경과 악성 코드 제거를 위한 투표 취소를 권고했습니다. 또한 Gas404는 민감한 데이터 유출을 완화하기 위해 IPFS ContextHash 배포로 전환할 것을 조언했습니다.
요약
- Tornado Cash 거버넌스 제안에 숨겨진 악성 자바스크립트 코드로 인해 거래 정보가 두 달 동안 유출되었다.
- 이로 인해 모든 자금 거래의 개인 정보와 보안이 침해되었으며, 보안 연구원 Gas404가 이를 발견하고 보고하였다.
- Tornado Cash는 이더리움 블록체인에서 개인 거래를 위한 비중앙화, 오픈 소스 믹서로, 사용자가 자금을 익명으로 입출금할 수 있도록 하는 SNARKs라는 암호학적 제로 지식 시스템을 사용한다.
- 'Butterfly Effects'라는 커뮤니티 회원이 제출한 거버넌스 제안(번호 47)을 통해 악성 JS 코드가 도입되었고, 이로 인해 입금 노트가 공격자의 서버로 유출되도록 프로토콜이 수정되었다.
- Gas404는 이 악성 함수가 개인 입금 노트를 일반 블록체인 거래 호출 데이터처럼 보이게 인코딩하고, 'window.fetch' 함수의 사용을 숨겨서 악용 메커니즘을 더욱 숨기고 있다고 말했다.
- 오래되고 노출된 메모를 새로운 것으로 교체, 프로토콜 변경 및 악성 코드 제거를 위한 투표 취소, IPFS ContextHash 배포로 전환할 것을 권고했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.