Un avviso riguardo ai possibili rischi è stato emanato dai creatori di Tornado Cash per gli investitori crypto che hanno eseguito depositi tramite i gateway di IPFS nel periodo compreso tra il 1° gennaio e il 24 febbraio.
Nello specifico, esiste il sospetto da parte degli sviluppatori che un individuo malintenzionato potrebbe aver esposto i depositi di Tornado Cash durante questo intervallo temporale, dirottandoli verso un server sotto il loro controllo.
Vediamo di seguito tutti i dettagli.
Summary
Rischi per i fondi depositati nel nuovo anno: il crypto avviso di Tornado Cash
Come anticipato, gli sviluppatori di Tornado Cash, un mixer crypto basato su smart contract, hanno emesso un avviso di possibile truffa per gli utenti che hanno eseguito depositi attraverso i gateway della società di servizi finanziari IPFS a partire dal 1° gennaio.
Secondo gli sviluppatori, le informazioni di deposito di questi utenti potrebbero essere state esposte a un “codice JavaScript dannoso”.
Si sospetta che un exploiter abbia fatto trapelare i depositi di Tornado Cash durante questo periodo su un server sotto il loro controllo.
In un post su Medium, che conferma la presenza del codice, gli sviluppatori hanno rivelato che era stato occultato dalla proposta di governance presentata da Butterfly Effects, uno sviluppatore della comunità di Tornado Cash.
Tuttavia, gli sviluppatori specificano che la fuga di depositi sembrava riguardare solo le distribuzioni IPFS di Tornado Cash.
Per coloro che hanno interagito con il contratto utilizzando interfacce locali, la situazione è dichiarata sicura, in quanto le modifiche ai commit possono essere “facilmente verificate”, secondo il post su Medium.
Nel frattempo, gli sviluppatori hanno descritto come l’exploiter abbia utilizzato il codice per sottrarre fondi da almeno un depositante:
“La funzione di cui sopra codifica le note di deposito private in modo che siano visualizzate come dati di chiamata e nasconde la funzione window.fetch per evitare di essere rilevata come una funzione che divulga le informazioni sul deposito a un server personale dell’exploiter.”
Per prevenire futuri attacchi simili, gli sviluppatori hanno consigliato ai depositanti di utilizzare una distribuzione di hash contestuale IPFS raccomandata e precedentemente utilizzata.
Inoltre, hanno invitato i possessori di token TORN a opporsi a qualsiasi proposta utilizzata anche dall’exploiter.
GoFundMe sospende la raccolta fondi per la difesa legale di Tornado Cash
La piattaforma di crowdfunding statunitense GoFundMe ha recentemente interrotto la campagna di raccolta fondi per la difesa legale di Roman Storm e Alexey Pertsev, co-fondatore e sviluppatore di Tornado Cash.
La decisione è stata presa il 14 febbraio, citando una violazione dei termini di servizio e la possibile esposizione a danni o responsabilità.
La raccolta fondi, avviata dopo un appello di Storm per il sostegno finanziario contro le accuse di agevolare l’evasione delle sanzioni attraverso il loro servizio, aveva già raccolto $30,000 su un obiettivo di $1.5 milioni.
Ryan Adams di Bankless Ventures, uno dei contributori, ha annunciato l’intenzione di reindirizzare la sua donazione di $10,000 a Storm tramite criptovaluta.
Nonostante la sospensione su GoFundMe, la campagna ha continuato su JuiceBox, una piattaforma di finanziamento di criptovaluta, accumulando 316.75 Ether.
Questo ha sollevato dibattiti sulla coerenza delle politiche di GoFundMe, considerando che la piattaforma ha consentito campagne simili in passato.
Storm e Pertsev affrontano varie accuse federali, compresa l’associazione a delinquere per il riciclaggio di denaro, violazione delle sanzioni e gestione di un’attività di trasferimento di denaro senza licenza.
Anche se sostengono la loro innocenza, Storm, rilasciato con una cauzione di 2 milioni di dollari, è confinato in specifici stati degli Stati Uniti in attesa del processo.
L’informatore della NSA Edward Snowden ha espresso il suo sostegno a Storm, evidenziando l’importanza della privacy e di una difesa legale equa sui social media.
Questo ha portato ulteriore attenzione al caso, soprattutto alla luce del coinvolgimento di Tornado Cash nel riciclaggio di oltre mezzo miliardo di dollari nel 2023, nonostante le sanzioni statunitensi del 2022.
Il mixer è stato collegato al gruppo Lazarus, affiliato alla Corea del Nord, e ha registrato una significativa riduzione del volume delle transazioni dopo le misure restrittive del 2023.
