Tornado Cash 协议被黑,TORN币瞬间崩跌超30%
去中心化的隐私交易DeFi 协议Tornado Cash 于上周5月20日经历了一次严重的治理攻击,攻击者控制了超过120万张投票权,并使Tornado Cash 用户的资金暴露处于风险之中,现在他们拥有大部分的治理权,在这种情况下,便可以恣意妄为,取得整个协议有关「治理池」的掌控权,也就是将120万张作为投票权的治理代币$TORN 提出,窃取的$TORN 代币遭大量卖出,价格于短时间崩跌了30% 之多。
事发当下,加密货币交易所如Binance 便暂停了该代币的存入,以保护其用户。然而,孙宇晨旗下的的Huobi 和Poloniex 交易所则表示,我们依然支持$TORN 的存提款。
这次攻击的发生,也让许多DeFi 社群体悟到,社群在对提案进行投票时或是依靠经过验证的原始码时,皆必须谨慎行事。
近几年发生过非常多所谓的“Code is law” 的事件,也就是说合约写死的逻辑,尽管违反道德他依然能够执行,这也是区块链中智能合约的特性之一,而未来或许除了Tornado Cash 以外的DeFi 协议也应谨慎行事,确保他们所使用的智能合约没有这种能够将自身产品自毁的程式码
Tornado Cash 爆社群治理危机?
攻击者透过于Tornado 社群论坛中创建恶意提案的方式,使用了与先前已通过的提案相同的逻辑,让外界认为此提案无害处。然而,事实并非如此,他们在提案中增加了一个额外的功能,并在提案通过后使用selfdestruct 功能,重新部署成恶意代码
黑客于提案通过后,使用了「emergencyStop 」的函数更新提案逻辑,让自己获得大量的治理权,接着便是将质押作为取得治理权途径的$TORN 代币全数从池子中取出,攻击者前后从治理合约中的金库提领超过48万枚$TORN 代币,陆续出售换得约492 $ETH 的赃款
大量$TORN 代币的卖压也使得$TORN 价格于短时间崩跌了30% 之多,引起社群恐慌,尽管后续攻击者稍早发布了一项新提案,有意删除原先的恶意代码、归还社群治理控制权,使得代币价格有些起色,但是Tornado 支持者的信心或许又被重挫了一次,庆幸的是,这次的攻击只能够对质押中的治理代币产生影响,其余质押在协议中的代币是无法取得的,此数量为受攻击影响代币的300多倍。
值得一提的是,这次攻击者在事件发生后,也依然存了部分$TORN 代币进行混币动作,或许也代表,Tornado Cash 的产品地位在市场中是高度被认可的,是真的好用。
被美国政府针对?Tornado Cash 发展一波三折
2022年8月,美国财政部底下的海外资产控制办公室(Office of Foreign Assets Control,OFAC)将Tornado Cash 列入黑名单,使得美国公民、居民和公司使用该服务属于违法行为。
不仅如此,该项目的网域和GitHub 帐户也被关闭,Tornado Cash 团队其中一名开发者也因此被捕,此事件也受到加密社群的一番讨论,许多人认为「开发应用」本身的团队并没有错,就像警方不会去逮补「卖菜刀的」商人,而是真正犯下恶行的犯人一样。
「科技始终来自人性」,科技进步的另一面便是容易遭受到不肖份子的使用,混币器服务固然方便,但也成了诈骗份子在进行恶意行为之后的最佳利器,自2019 年来Tornado 已经手超过70 亿美元总值的加密货币。据Elliptic 今年发布的统计,其中有超过15 亿美元是透过盗窃、黑客攻击和欺诈等不法手法获取。
Tornado Cash 其实是零知识证明(zero-knowledge proof)的先驱
Tornado Cash 于2019 年12 月推出,由Roman Semenov、Alexey Pertsev 和Roman Storm 开发打造而成,Tornado Cash 是一个开源、非托管且完全去中心化的加密货币混币器,运行于以太坊以及其他以太坊兼容网路上。
截至2023 年3 月,Tornado 总计存入了超过350 万个ETH ,目前有122,206 个ETH 与将近6700万美元的资金存于资金池中,Tornado 透过零知识证明的技术提供的服务,将能协助用户将可能可识别或「有污点」的加密货币资金与其他资金混合在一起,从而混淆资金原始来源的隐私工具,该项目通过去中心化自治组织(DAO)进行治理,使用$TORN 代币作为社群当中的治理代币。
我们之前也有介绍到零知识证明的简单案例:
零知识证明是一种密码学的工具,可以让一方(证明方) 在不透露任何实际信息的情况下向另一方(验证方) 证明某保密信息或声明是真的。当我们需要其他人相信我们所拥有的保密信息和提出的声明是真的时候,但同时不想披露任何信息时,这时就需要零知识证明了
呼应Vitalik 近期对于零知识技术的期待,他认为未来十年,零知识证明技术将与区块链技术一样重要,提到,关于像是Tornado Cash 的应用可能会被不肖份子恶意使用,目前也正在尝试做Proof of Innocence 的解决方案,便能够证明基于Tornado Cash 的金流是否清白,接着便是零知识证明技术特有的「社交恢复」功能也将陆续出现,成为一个既保证隐私且安全的加密资产管理方案,尽管发展较缓慢,不过人称四大Layer 2 之中的zkSync 与StarkNet 其实都是藉由零知识证明技术开发而成的,生态逐渐成长,值得期待。
本文链接地址:https://www.wwsww.cn/DeFi/18324.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
