UPDATED. 2024-03-29 17:16 (금)

악의적인 제안을 사용하여 토네이도 캐시 거버넌스 시스템 장악한 공격자
상태바
악의적인 제안을 사용하여 토네이도 캐시 거버넌스 시스템 장악한 공격자
  • 편집팀
  • 승인 2023.05.22 16:31
이 기사를 공유합니다

[블록체인투데이 편집팀] 한 공격자가 악의적인 제안을 통해 토네이도 캐시(Tornado Cash) DAO의 거버너스 시스템을 완전히 통제할 수 있는 권한을 부여하는 데 성공했다고 21일(현지 시각) 더블록이 보도했다.

토네이도 캐시는 이더리움에서 암호화폐를 믹싱하는 서비스로 앞서 미국 재무부의 제재를 받았다. 이 서비스의 거버넌스 시스템은 프로토콜 업그레이드를 제어하며, 프로젝트의 네이티브 TORN 토큰을 보유한 사람들이 운영한다.

보도에 따르면 거버넌스 시스템은 지난 20일 이전에 통과된 업그레이드와 동일한 것으로 알려진 업그레이드를 승인했다. 그러나 트위터에서 'Samczsun'이라는 익명의 보안 연구자가 밝힌 바에 따르면 공격자가 추가 기능을 더했기 때문에 이는 사실이 아니었다. 업그레이드가 통과된 후 공격자는 이 기능을 사용하여 120만 표를 추가로 확보하여 전체 거버넌스 시스템을 효과적으로 제어할 수 있게 되었다.

공격자는 이미 이 통제권을 유리하게 사용했다. 공격자는 곧바로 10,000표를 TORN 토큰 형태로 인출하여 25,600달러에 모두 판매했다. 그리고 나머지 고정된 투표도 모두 빼돌렸다고 Samczsun은 말했다.

온체인 분석가인 EmberCN에 따르면 총 483,000개의 TORN이 금고에서 탈취되었다고 한다. 그들은 6,000 TORN이 암호화폐 거래소 비트루(Bitrue)에 예치되었고, 379,000개는 온체인에서 68만 달러의 이더로 판매되었으며, 공격자의 통제하에 10만 TORN 미만이 남아있다고 주장했다.

우 블록체인(Wu Blockchain)에 따르면 바이낸스는 TORN의 입출금을 중단할 것이라고 밝혔으며, 저스틴 선(Justin Sun)은 트위터를 통해 후오비(Huobi)에서 해당 토큰의 입출금이 여전히 가능하다고 말했다.

Samczsun은 공격자가 거버넌스 시스템을 장악하면 거버넌스 계약의 모든 토큰을 빼돌리고 프로토콜 작동 방식의 핵심 부분인 라우터 작동을 효과적으로 중단시킬 수 있다고 언급했다. 반대로 공격자가 업그레이드 가능한 그노시스 체인(Gnosis Chain)의 풀 하나를 제외하고는 믹싱에 사용되는 이더와 같이 프로토콜 내에서 보유 중인 자금을 빼낼 수 없다고 연구자는 지적했다.

info@blockchaintoday.co.kr



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
이슈포토