トルネードキャッシュのガバナンスシステムが乗っ取られる
分散型仮想通貨ミキサーであるトルネードキャッシュ(Tornado Cash)で、攻撃者が悪意のある提案を通じてプラットフォームのガバナンスを完全に掌握することに成功し、重大な挫折に遭遇している事が分かった。
悪意を持つ攻撃者は、5月20日(土曜日、日本時間21日5時25分)に発生し、攻撃者が自分たちに120万票を付与し、トルネードキャッシュのガバナンスシステムを事実上乗っ取っている。このエクスプロイトは、提案が700,000を超える正当な投票を獲得したにもかかわらず発生し、攻撃者がプラットフォームを自由に操作できるようになった。
攻撃者はトルネードキャッシュを攻撃する悪意のあるプログラムを設計
攻撃の詳細は、研究主導のテクノロジー投資会社であるパラダイム(Paradigm)のメンバーである @samczsun によって共有された。
@samczsun氏によると、攻撃者は、コミュニティの信頼と知名度を利用して、以前に成功したものに似せて悪意のある提案を巧妙に設計。しかし、今回の提案には追加機能が含まれていた。提案が十分な票を獲得すると、攻撃者は迅速に緊急停止機能を実行し、提案ロジックを変更して不正な票を獲得している。トルネードキャッシュのガバナンスシステムを完全に制御した攻撃者は、トロン(TORN)として10,000票を引き出し、その後個人的な利益のために売却。
この事件は、仮想通貨投資家に、投票する前に提案の説明とロジックを精査することの重要性を改めてはっきりと印象付けた。この攻撃に対して、Tornadosaurus-HexまたはMr Tornadosaurus Hexとして知られるトルネードキャッシュのアクティブコミュニティメンバーは、ガバナンス システム内のすべての資金が侵害される可能性があることを認めた。なお、彼らは資産を保護するため、ロックされた資金をガバナンスから引き出すようすべてのメンバーに求めている。
この状況に対処するため、コミュニティは変更を元に戻すための契約を展開しようとし、メンバーに資金を引き出すようアドバイス。一方、コミュニティ開発者からは助けを求める悲痛な通報があり、攻撃を確認し、攻撃者がガバナンスシステムを制御しており、状況は現在も悲惨なままであると述べている。
プラットフォームは状況を打開する方法を模索中
トルネードキャッシュチームは、この危機的な状況からプロトコルを救い出すのを支援できるSolidity開発者を積極的に探している。
さらに、バイナンス(Binance)は攻撃者よりも多くのトークンを保有しており、被害を軽減する道を提供する可能性があるため、彼らはバイナンスとの接触を確立しようとしている。一方で、元トルネードキャッシュ開発者は、新しい仮想通貨混合サービスをゼロから作成することに取り組んでいると伝えられている。この新しいソリューションは、トルネードキャッシュに存在する重大な欠陥に対処すると同時に、過剰な規制に頼ったり、仮想通貨の中核原則を侵害したりすることなく、コミュニティをハッカーから保護できるようにすることを目的としている。
トルネードキャッシュがこの攻撃の余波に直面するなか、仮想通貨コミュニティは分散型エコシステムに存在する継続的な課題と脆弱性を思い出させている。将来的にこれらのプラットフォームの完全性と信頼性を保護するには、セキュリティ対策とコミュニティの参加を強化する取り組みが不可欠である。
