Tornado Cash 用户的存款可能因恶意 JavaScript 代码而受到损害

据 CryptoPotato 称，使用 IPFS 网关（例如 ipfs.io、cf-ipfs.com 和 eth.link）向 Tornado Cash 存入的资金可能已被泄露，从而可能使用户存入的资金面临风险。

假名 Tornado Cash 开发商“Gas404”建议受影响的用户立即采取行动保护他们的存款。

Gas404 的一篇博客文章揭示了恶意 JavaScript 代码的存在，该代码隐藏在由所谓的 Tornado Cash 开发者（称为“蝴蝶效应”）提交的治理提案中。

据推测，这个隐藏代码自 1 月 1 日起就一直在向开发商控制的私人服务器泄露存款票据。

风险似乎仅限于 Tornado Cash 的 IPFS 部署，因为 Gas404 提到可以在本地接口上轻松审核缩小源代码的更改。

为了减轻潜在的损害，该帖子建议 Tornado Cash 原生代币 TORN 的持有者对攻击者之前部署的两个有问题的提案投否决票。

Tornado Cash 是全球最受欢迎的加密货币混合器之一，于 2022 年 8 月受到美国财政部外国资产控制办公室 (OFAC) 的制裁。财政部声称，该加密货币混合器协助洗钱超过 70 亿美元数字货币，其中 4.55 亿美元据信在 2022 年被与朝鲜政府有联系的臭名昭著的实体拉撒路集团 (Lazarus Group) 窃取。

热点：CASH 用户