Tornado Cash : un hacker prend le contrôle de la gouvernance après une proposition malveillante
Un hacker a réussi à prendre le contrôle de la gouvernance du mixeur Tornado Cash grâce à une proposition malveillante. Est-ce que cet évènement causera la fin du protocole ?
le 21 mai 2023 à 11:00.
2 minutes de lecture
La gouvernance de Tornado Cash subit un hack
C’est une attaque pour le moins originale qui a touché le protocole Tornado Cash ce week-end. En effet, un hacker est parvenu à prendre le contrôle de la gouvernance, grâce à une proposition malveillante. Dans un thread sur Twitter, @samczsun, chercheur chez Paradigm, a expliqué comment les évènements s’étaient déroulés :
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— samczsun (@samczsun) May 20, 2023
Le mode opératoire est assez technique, mais tentons de le résumer simplement et d’en expliquer les conséquences. En premier lieu, la proposition aurait été similaire à une proposition adoptée précédemment, à ceci près qu’elle contenait une fonction qui, une fois son vote validé par la gouvernance, a permis à l’attaquant de modifier des points critiques pour s’attribuer de faux votes.
Ainsi, le hacker a pu s’accorder 1 200 000 voix alors que la gouvernance en possédait environ 700 000 légitimes. De ce fait, cette action lui a ensuite donné le contrôle sur ladite gouvernance, lui ouvrant par exemple la voie au vol de tokens TORN qui étaient notamment déposés dans les scrutins de celle-ci.
👉 Pour aller plus loin — Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒🎧 Écoutez cet article et toutes les autres actualités crypto sur Spotify
Est-ce la fin du protocole ?
Tandis que Tornado Cash avait déjà vu sa pérennité prendre un coup après les sanctions de l’Office of Foreign Assets Control (OFAC) au mois d’août 2022, ce nouvel écueil met de nouveau le protocole en péril, tout du moins dans sa forme actuelle.
Notons qu’a priori, les pools de dépôts servant à anonymiser les fonds ne semblent pas en danger. D’ailleurs, le compte d’alertes de PeckShield a même relevé que le hacker avait lui-même utilisé l’application pour blanchir les fonds qu’il avait volés, ce qui inclut par exemple environ 380 000 TORN échangés contre 372 ETH :
#PeckshieldAlert Tornado Cash Governance Exploiter has deposited 6K $TORN to #Bitrue. And swapped ~380K $TORN for $ETH and then transferred 372 $ETH into Tornado Cashhttps://t.co/3fEa1kYFaz pic.twitter.com/BzqagupO5c
— PeckShieldAlert (@PeckShieldAlert) May 21, 2023
Selon MistTrack, l’unité de suivi on-chain de SlowMist, ce sont plus de 483 000 TORN qui ont été dérobés dans l’attaque :
💸 The remaining $TORN was exchanged for ETH using @1inch and then deposit into https://t.co/FRBMx1wIMz
Hacker Address: https://t.co/TT9DItDB6T
— MistTrack🕵️ (@MistTrack_io) May 21, 2023
Au cours actuel, cela fait près de 2,25 millions de dollars. Mais cette donnée est en réalité faussée, compte tenu du fait que le token a perdu 27,2 % sur les dernières 24 heures, et que l’attaquant a procédé à de nombreux mouvements depuis sa prise de contrôle. Avec un plus haut journalier à 7,29 dollars samedi, son cours a plongé jusqu’à 3,55 dollars après l’attaque, et s’échange actuellement à 4,62 dollars.
Lors de la rédaction de ces lignes, l’adresse du hacker hébergeait encore 97 700 tokens TORN.
De son côté, Binance a temporairement mis en pause la cotation de l’actif, dans l’attente de plus de visibilité sur cette affaire.
Si d’habitude, ce sont plutôt les smart contracts des applications elles-mêmes qui sont ciblées par les hackers, un tel évènement fait prendre conscience que les points d’attaques sur un protocole peuvent se trouver à différents niveaux de son architecture. Du côté de Tornado Cash spécifiquement, les prochains jours donneront probablement plus de pistes pour juger de sa survie ou non.
👉 Dans l’actualité également — Three Arrows Capital : 7 NFT vendus aux enchères pour près de 2,5 millions de dollars
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital
Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.
Vincent Maire
1507 articles
