據 CryptoPotato 稱,使用 IPFS 網關(例如 ipfs.io、cf-ipfs.com 和 eth.link)向 Tornado Cash 存入的資金可能已洩露,從而可能使用戶存入的資金面臨風險。 假名 Tornado Cash 開發商「Gas404」建議受影響的用戶立即採取行動保護他們的存款。
Gas404 的一篇部落格文章揭示了惡意 JavaScript 程式碼的存在,該程式碼隱藏在由所謂的 Tornado Cash 開發者(稱為「蝴蝶效應」)提交的治理提案中。 據推測,這個隱藏代碼自 1 月 1 日起就一直在向開發商控制的私人伺服器洩露存款票據。 風險似乎僅限於 Tornado Cash 的 IPFS 部署,因為 Gas404 提到可以在本地介面上輕鬆審核縮小原始程式碼的變更。
為了減輕潛在的損害,該貼文建議 Tornado Cash 原生代幣 TORN 的持有者對攻擊者之前部署的兩個有問題的提案投否決票。 Tornado Cash 是世界上最受歡迎的加密貨幣混合器之一,於 2022 年 8 月受到美國財政部外國資產控制辦公室 (OFAC) 的製裁。財政部聲稱,該加密貨幣混合器協助洗錢超過 70 億美元數位貨幣,其中4.55 億美元據信在2022 年被與北韓政府有聯繫的臭名昭著的實體拉撒路集團(Lazarus Group) 竊取。
