Unos piratas informáticos han pirateado el mecanismo de administración de la comunidad autónoma descentralizada (DAO) del mezclador de criptomonedas Tornado Cash, haciéndose con su control total y empezando a retirar tokens TORN. El ataque hizo que el protocolo de votación fuera absolutamente disfuncional.
Los atacantes se hicieron con el control total del proyecto Tornado Cash manipulando el mecanismo de control de DAO del mezclador de criptomonedas. Según un analista de la firma de inversión Paradigm, el ataque provocó que los mecanismos de gobierno de Tornado Cash “dejaran efectivamente de existir”.
Los piratas informáticos sometieron a votación una propuesta maliciosa en la DAO. Después de que los miembros de la comunidad comenzasen a votar, los atacantes usaron la función EmergencyStop para lograr uno con dos millones de falsos votos afirmativos. Como resultado, la propuesta fue admitida y los piratas informáticos consiguieron el control total de la administración de Tornado Cash, lo que dejó a los atacantes:
- retirar todos y cada uno de los votos bloqueados;
- vaciar todos y cada uno de los tokens bloqueados en el contrato de gestión;
- bloquear el mecanismo de control del mezclador.
Inmediatamente tras el ataque, los piratas informáticos retiraron diez.000 votos a TORN. Después, conforme un informe de los analistas de PeckShield, retiraron unos seis mil TORN más a la plataforma Bitrue, e intercambiaron unos trescientos ochenta TORN por trescientos setenta y dos ETH, que fueron transferidos al criptomezclador Tornado Cash. Las cotizaciones de TORN se cayeron de manera inmediata un veinticinco%, según CoinGecko.
La comunidad de Tornado Cash procuró deshacer los cambios introduciendo una propuesta, mas esta no fue admitida dado a que los atacantes tienen pleno control sobre los mecanismos de votación. Los participantes de DAO apuntaron que el exchange de criptomonedas Binance podría, teóricamente, asistir a solucionar la situación, ya que dispone de más tokens de control que los piratas informáticos. Sin embargo, Binance solo ha anunciado la suspensión de los depósitos en TORN. Se ha aconsejado a los usuarios de Tornado Cash que retiren sus activos de los contratos inteligentes de la aplicación.
Un día tras el ataque, los atacantes lanzaron una nueva propuesta a la DAO que, de aplicarse, podría reparar las imperfecciones del enrutador. Según ciertos usuarios, posiblemente los piratas informáticos hayan conseguido sus objetivos y estén prestos a devolver a la comunidad la capacidad de supervisar el criptomezclador, o tal vez solo estén troleando.
Por otro lado, posiblemente los piratas informáticos prosigan persiguiendo objetivos ególatras. Por ejemplo, conforme CoinGecko, las cotizaciones de TORN han subido un diez% desde el lanzamiento de la nueva oferta, por lo que las acciones de los piratas informáticos podrían ser sencillamente un intento de ganarse la confianza de la comunidad y elevar artificialmente el costo de los tokens para venderlos a un costo más alto. Los piratas informáticos votaron en favor de su propuesta, mas se reservaron el derecho de tomar la resolución final sobre exactamente la misma. La votación va a durar hasta el veintiseis de mayo de dos mil veintitres, a las 11:53:38am (GMT+1).
Como recordatorio, el criptomezclador Tornado Cash fue objeto de sanciones estadounidenses en el mes de agosto de dos mil veintidos, mas eso no impidió que los criminales prosiguieran empleándola para blanquear fondos robados. La detención en Holanda del desarrollador de Tornado Cash, Alexey Pertsev, provocó la indignación de la comunidad de criptomonedas, cuyos representantes aseveraron que las acciones del Tesoro estadounidense podrían tener un efecto perjudicial en todos y cada uno de los protocolos Web3.
