Tornado Cash : un hacker prend le contrôle de la gouvernance après une proposition malveillante
Un hacker a réussi à prendre le contrôle de la gouvernance du mixeur Tornado Cash grâce à une proposition malveillante. Est-ce que cet évènement causera la fin du protocole ?
La gouvernance de Tornado Cash subit un hack
C’est une attaque pour le moins originale qui a touché le protocole Tornado Cash ce week-end. En effet, un hacker est parvenu à prendre le contrôle de la gouvernance, grâce à une proposition malveillante. Dans un thread sur Twitter, @samczsun, chercheur chez Paradigm, a expliqué comment les évènements s’étaient déroulés :
On 2023/05/20 at 07:25:11 UTC, Tornado Cash governance effectively ceased to exist. Through a malicious proposal, an attacker granted themselves 1,200,000 votes. As this is more than the ~700,000 legitimate votes, they now have full control.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— samczsun (@samczsun) May 20, 2023
Le mode opératoire est assez technique, mais tentons de le résumer simplement et d’en expliquer les conséquences. En premier lieu, la proposition aurait été similaire à une proposition adoptée précédemment, à ceci près qu’elle contenait une fonction qui, une fois son vote validé par la gouvernance, a permis à l’attaquant de modifier des points critiques pour s’attribuer de faux votes.
Ainsi, le hacker a pu s’accorder 1 200 000 voix alors que la gouvernance en possédait environ 700 000 légitimes. De ce fait, cette action lui a ensuite donné le contrôle sur ladite gouvernance, lui ouvrant par exemple la voie au vol de tokens TORN qui étaient notamment déposés dans les scrutins de celle-ci.
👉 Pour aller plus loin — Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒🎧 Écoutez cet article et toutes les autres actualités crypto sur Spotify
Est-ce la fin du protocole ?
Tandis que Tornado Cash avait déjà vu sa pérennité prendre un coup après les sanctions de l’Office of Foreign Assets Control (OFAC) au mois d’août 2022, ce nouvel écueil met de nouveau le protocole en péril, tout du moins dans sa forme actuelle.
Notons qu’a priori, les pools de dépôts servant à anonymiser les fonds ne semblent pas en danger. D’ailleurs, le compte d’alertes de PeckShield a même relevé que le hacker avait lui-même utilisé l’application pour blanchir les fonds qu’il avait volés, ce qui inclut par exemple environ 380 000 TORN échangés contre 372 ETH :
#PeckshieldAlert Tornado Cash Governance Exploiter has deposited 6K $TORN to #Bitrue. And swapped ~380K $TORN for $ETH and then transferred 372 $ETH into Tornado Cashhttps://t.co/3fEa1kYFaz pic.twitter.com/BzqagupO5c
— PeckShieldAlert (@PeckShieldAlert) May 21, 2023
Selon MistTrack, l’unité de suivi on-chain de SlowMist, ce sont plus de 483 000 TORN qui ont été dérobés dans l’attaque :
💸 The remaining $TORN was exchanged for ETH using @1inch and then deposit into https://t.co/FRBMx1wIMz
Hacker Address: https://t.co/TT9DItDB6T
— MistTrack🕵️ (@MistTrack_io) May 21, 2023
Au cours actuel, cela fait près de 2,25 millions de dollars. Mais cette donnée est en réalité faussée, compte tenu du fait que le token a perdu 27,2 % sur les dernières 24 heures, et que l’attaquant a procédé à de nombreux mouvements depuis sa prise de contrôle. Avec un plus haut journalier à 7,29 dollars samedi, son cours a plongé jusqu’à 3,55 dollars après l’attaque, et s’échange actuellement à 4,62 dollars.
Lors de la rédaction de ces lignes, l’adresse du hacker hébergeait encore 97 700 tokens TORN.
De son côté, Binance a temporairement mis en pause la cotation de l’actif, dans l’attente de plus de visibilité sur cette affaire.
Si d’habitude, ce sont plutôt les smart contracts des applications elles-mêmes qui sont ciblées par les hackers, un tel évènement fait prendre conscience que les points d’attaques sur un protocole peuvent se trouver à différents niveaux de son architecture. Du côté de Tornado Cash spécifiquement, les prochains jours donneront probablement plus de pistes pour juger de sa survie ou non.
👉 Dans l’actualité également — Three Arrows Capital : 7 NFT vendus aux enchères pour près de 2,5 millions de dollars
Cryptoast Academy : Ne gâchez pas ce bull run, entourez vous d'expertsRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.