Tornado Cashで悪質なコードが発見される
Tornado Cash(トルネードキャッシュ)は、仮想通貨コミュニティにおけるプライバシーおよびセキュリティ論争を代表する名前であったが、今度は、ガバナンス提案で悪質なコードが発見された事が分かった。
コミュニティ内で「Butterfly Effects」として知られる開発者が、ガバナンス提案に悪意のあるJavaScriptを密かに混入させ、全ての人の不意を突いたとみられる。2024年初め以降、IPFS (InterPlanetary File System:分散型ファイルシステム)ゲートウェイを使用し、Tornado Cash とやり取りした人は誰でも、デポジットノートが侵害され、開発者とされる者の管理下にあるサーバーに直接送信された可能性があるとの見方が強まっている。
Tornado Cash は保管のないプライバシーソリューションとして機能し、ユーザーは痕跡を残すことなく、イーサリアム(Ethereum)ネットワーク上で取引ができる。同エクスプロイトは、気づかれないように意図されていたコード部分を中心に展開しており、これはすべて良性のガバナンス提案を装い、預金紙幣を奪い取り、プライベートサーバーに集めるように設計されていたとのことだ。
IPFS展開を通じて行われたトランザクションをターゲットに
このエクスプロイトは、Tornado CashのIPFS展開を通じて行われたトランザクションをターゲットとしていたことが分かっている。
ローカルインターフェイスを使用してTornado Cashと対話した場合、直接の契約対話の透明性と監査可能性のおかげで、問題はないという。同エクスプロイト自体は巧妙な作品であり、基本的に、プライベートの預金通帳をエンコードし、通話データを装い、window.fetch 関数を使用してこの機密情報を攻撃者のサーバーに送信する。コミュニティは、Cloudflare IPFSなどのプラットフォームと、不審なイーサリアムアドレスへのリンクを通じてエクスプロイトコードを発見したという。
ただし、ユーザーとコミュニティが資産とTornado Cashの完全性を守るために実行できる回復手順という希望の光がある。重要対策の1つは、推奨されるIPFS ContextHash展開に切り替えることで、ユーザーをさらなる被害から守れる。なお、この展開は、以前のガバナンス提案を通じて検証されている。