Foto: Zeralein99/Shutterstock
Via een artikel op het blog platform Medium zijn er meldingen naar buiten gekomen dat de deposito’s en deposito gegevens van gebruikers van Tornado Cash in gevaar zijn. De oorzaak is een exploitatie in de code van het protocol.
Wat is de beruchte crypto-mixer Tornado Cash?
Tornado Cash is een gedecentraliseerde cryptocurrency mixer op de Ethereum (ETH) blockchain. Het stelt gebruikers in staat hun transacties te anonimiseren. Het werkt door de koppeling tussen de verzendende en ontvangende adressen van een transactie te verbergen.
De anonimiteit wordt bereikt door deposito’s van meerdere gebruikers te mengen. Vervolgens biedt het de mogelijkheid om deze middelen op te nemen naar nieuwe adressen. Daardoor wordt de traceerbaarheid van de fondsen bemoeilijkt.
Tornado Cash heeft de aandacht van regelgevende instanties aangetrokken, met name vanwege zorgen dat het kan worden gebruikt om de herkomst van illegaal verkregen fondsen te verbergen of om sancties te ontduiken.
Gevaarlijke code gespot door Tornado Cash-ontwikkelaar
Een gemeenschapslid genaamd Gas404 onthulde in een artikel dat er kwaadaardige Javascript-code was ingevoegd via een twee maanden oude governance voorstel. Het voorstel werd ingediend door een vermeende ontwikkelaar van Tornado Cash op 1 januari.
Deze code had tot doel deposito gegevens door te sturen naar een publieke server beheerd door de vermeende ontwikkelaar. De exploit maakt niet alleen het lekken van deposito gegevens mogelijk, maar stelt aanvallers ook in staat deposito’s zelf te stelen. Volgens Gas404 is er daadwerkelijk een deposito gestolen, wat is waargenomen op etherscan.
Gas404 heeft voorgesteld dat Tornado Cash terugkeert naar een eerdere IPFS ContextHash-implementatie die werd gebruikt in een vorige versie van het protocol om de veiligheid te herstellen.
Tornado Cash ontwikkelaar wordt vrijgelaten
De Tornado Cash ontwikkelaar Alexey Pertsev werd een jaar geleden nog vrijgelaten na maanden in hechtenis te hebben gezeten. De arrestatie volgde kort na de beslissing van de Amerikaanse overheid in augustus 2022 om Tornado Cash op een sanctielijst te plaatsen. Dit werd gedaan wegens vermeende vergemakkelijking van witwaspraktijken.
Pertsev, die in Nederland woont, werd beschuldigd van het faciliteren van witwassen en mogelijke banden met de Russische geheime dienst. De zaak heeft geleid tot veel discussie over de rol van privacy in de crypto wereld. Tornado Cash zou ook zijn gebruikt door de Noord-Koreaanse groep Lazarus, voor het witwassen van gestolen geld.