Unos hackers han pirateado el mecanismo de gestión de la comunidad autónoma descentralizada (DAO) del mezclador de criptomonedas Tornado Cash, haciéndose con su control total y comenzando a retirar tokens TORN. El ataque hizo que el protocolo de votación fuera completamente disfuncional.
Los atacantes se hicieron con el control total del proyecto Tornado Cash manipulando el mecanismo de control de DAO del mezclador de criptomonedas. Según un analista de la firma de inversión Paradigm, el ataque provocó que los mecanismos de gobierno de Tornado Cash “dejaran efectivamente de existir”.
Los hackers sometieron a votación una propuesta maliciosa en la DAO. Después de que los miembros de la comunidad comenzaran a votar, los atacantes utilizaron la función EmergencyStop para conseguir 1,2 millones de falsos votos afirmativos. Como resultado, la propuesta fue aceptada y los hackers obtuvieron el control total de la gestión de Tornado Cash, lo que permitió a los atacantes:
- retirar todos los votos bloqueados;
- vaciar todos los tokens bloqueados en el contrato de gestión;
- bloquear el mecanismo de control del mezclador.
Inmediatamente después del ataque, los hackers retiraron 10.000 votos a TORN. Después, según un informe de los analistas de PeckShield, retiraron unos 6.000 TORN más a la plataforma Bitrue, e intercambiaron unos 380.000 TORN por 372 ETH, que fueron transferidos al criptomezclador Tornado Cash. Las cotizaciones de TORN se desplomaron inmediatamente un 25%, según CoinGecko.
La comunidad de Tornado Cash intentó deshacer los cambios introduciendo una propuesta, pero ésta no fue aceptada debido a que los atacantes tienen pleno control sobre los mecanismos de votación. Los participantes de DAO señalaron que el exchange de criptomonedas Binance podría, en teoría, ayudar a remediar la situación, ya que dispone de más tokens de control que los hackers. Sin embargo, Binance sólo ha anunciado la suspensión de los depósitos en TORN. Se ha aconsejado a los usuarios de Tornado Cash que retiren sus activos de los contratos inteligentes de la aplicación.
Un día después del ataque, los atacantes lanzaron una nueva propuesta a la DAO que, de aplicarse, podría arreglar los desperfectos del router. Según algunos usuarios, es posible que los hackers hayan logrado sus objetivos y estén dispuestos a devolver a la comunidad la capacidad de controlar el criptomezclador, o tal vez sólo estén troleando.
Por otro lado, es posible que los hackers sigan persiguiendo objetivos egoístas. Por ejemplo, según CoinGecko, las cotizaciones de TORN han subido un 10% desde el lanzamiento de la nueva oferta, por lo que las acciones de los hackers podrían ser simplemente un intento de ganarse la confianza de la comunidad y elevar artificialmente el precio de los tokens para venderlos a un precio más alto. Los hackers votaron a favor de su propuesta, pero se reservaron el derecho de tomar la decisión final sobre la misma. La votación durará hasta el 26 de mayo de 2023, a las 11:53:38am (GMT+1).
Como recordatorio, el criptomezclador Tornado Cash fue objeto de sanciones estadounidenses en agosto de 2022, pero eso no impidió que los delincuentes siguieran utilizándola para blanquear fondos robados. La detención en Holanda del desarrollador de Tornado Cash, Alexey Pertsev, provocó la indignación de la comunidad de criptomonedas, cuyos representantes afirmaron que las acciones del Tesoro estadounidense podrían tener un efecto perjudicial en todos los protocolos Web3.